Au cours de la dernière décennie, le nombre et le niveau de complexité des cyberattaques perpétrées par des groupes de pirates informatiques pro-gouvernementaux et des cybercriminels à motivation financière ont considérablement augmenté. Les particuliers, les entreprises et les organisations gouvernementales ne peuvent plus faire confiance à la sécurité du cyberespace, ainsi qu'à l'intégrité et à la sécurité de leurs données. Internet est devenu le système circulatoire de notre civilisation. Cependant, la liberté de communication et les opportunités mondiales offertes par Internet sont de plus en plus menacées: prunes et fuites de données, cyberattaques des États en guerre - telles sont les réalités dans lesquelles chacun de nous vit aujourd'hui.

La tendance dominante et la plus effrayante en 2019, nous considérons l'utilisation des cyber-armes
dans des opérations militaires ouvertes. Le conflit entre États a pris de nouvelles formes et la cyberactivité joue un rôle de premier plan dans ce dialogue destructeur. Les attaques contre les infrastructures critiques et la déstabilisation ciblée d'Internet dans certains pays inaugurent une nouvelle ère de cyberattaques. Nous sommes convaincus qu'une existence pacifique n'est plus possible indépendamment de la cybersécurité: ce facteur ne peut être ignoré par aucun État, pas une seule entreprise, pas une seule personne.

Il y a six ans, nous avons publié le premier rapport sur les tendances de la criminalité high-tech. Ce fut ensuite la seule étude sur les tendances de la cybercriminalité en Russie et l'une des premières au monde. Comme précédemment, le rapport annuel du Groupe-IB montre les changements survenus au cours de l'année, étant la source unique et la plus complète de données stratégiques et tactiques sur les cybermenaces actuelles dans le monde. Cette étude décrit la période S2 2018 - S1 2019.

Mener des opérations militaires ouvertes à l'aide de cyberarmes

Au cours des 6 premiers mois de 2019, trois opérations militaires ouvertes sont devenues connues: en mars, à la suite de l'attaque des centrales hydroélectriques vénézuéliennes, la majeure partie du pays s'est retrouvée sans électricité pendant plusieurs jours, en mai, en réponse à une cyberattaque, l'armée israélienne a lancé une attaque au missile contre les pirates du Hamas, et en juin, les États-Unis ont utilisé des cyber-armes contre des systèmes de contrôle de lancement de missiles iraniens en réponse à un drone américain tombé.

Aucun outil d'attaquant n'a été installé, et dans ce dernier cas, une cyberattaque s'est produite quelques jours seulement après l'incident du drone. Cela confirme l'hypothèse selon laquelle les infrastructures critiques de nombreux pays sont déjà compromises et les attaquants passent simplement inaperçus jusqu'au bon moment.

Violation de la stabilité d'Internet au niveau de l'État

Dans le monde moderne, des dommages sociaux et économiques maximaux peuvent être causés en déconnectant les gens et les entreprises de la communication. Dans le même temps, les pays qui mettent en place un contrôle d'accès centralisé à Internet deviennent plus vulnérables et pourraient devenir la première cible.
Ces dernières années, des attaques à divers niveaux de l'infrastructure de communication ont été testées et, en 2019, des attaques réussies ont été perpétrées contre le routage Internet et le détournement de BGP, contre les bureaux d'enregistrement de noms de domaine, les administrateurs de serveur DNS racine, les administrateurs de domaine nationaux et le détournement de DNS, sur les systèmes de filtrage locaux. et le blocage du trafic.

Nouvelles menaces associées à l'adoption généralisée de la 5G

Le passage à la technologie 5G ne fera qu'aggraver la situation de menace pour l'industrie des télécommunications. La première raison est les caractéristiques architecturales qui ouvrent des opportunités pour de nouveaux types d'attaques sur les réseaux d'opérateurs. La deuxième raison est la concurrence pour un nouveau marché, qui peut conduire à une démonstration des capacités de piratage de fournisseurs individuels et à l'émergence d'un grand nombre d'études anonymes sur les vulnérabilités de certaines solutions technologiques.

Menaces cachées de groupes progouvernementaux

Malgré le fait qu'un nombre relativement important d'études sur de nouveaux groupes progouvernementaux ont été publiées au cours de la dernière période, ce domaine reste mal compris. L'activité de 38 groupes a été remarquée (7 - nouveaux, dont le but est l'espionnage), mais cela ne signifie pas que d'autres groupes bien connus ont cessé leur activité - très probablement, leurs campagnes sont simplement restées sous le radar des analystes.

Par exemple, dans le secteur de l'énergie, seuls deux cadres sont connus - Industroyer et Triton (Trisis) - et tous deux ont été trouvés à la suite de l'erreur de leurs opérateurs. Très probablement, il existe un nombre important de menaces similaires, non détectées, et il s'agit d'une bombe à retardement.

Il convient également de noter que les groupes progouvernementaux connus dans l'espace public proviennent principalement de pays en développement, mais les informations sur les attaques et les outils de ces groupes dans les pays développés ne sont toujours pas publiées.

Piratage inversé: opposition des groupes progouvernementaux

En 2019, les cas d'apparition d'informations accessibles au public sont devenus plus fréquents
d'attaquer des outils au nom de soi-disant hacktivistes ou d'anciens membres du groupe. Le plus souvent, ce sont des exemples de piratage inversé, lorsque les attaquants eux-mêmes deviennent des victimes. À l'heure actuelle, les entreprises privées n'ont pas le droit de mener de telles opérations et seuls les services spéciaux de l'État ont officiellement ces pouvoirs.

Attaques ciblées contre des banques étrangères par des groupes russophones

Seuls 5 groupes représentent désormais une menace réelle pour le secteur financier: Cobalt, Silence, MoneyTaker - Russie, Lazarus - Corée du Nord, SilentCards - un nouveau groupe du Kenya.
En Russie, les dommages causés par des attaques ciblées contre des banques par des groupes à motivation financière au cours de la période d'étude ont diminué de près de 14 fois. Cela est dû, entre autres, au changement d'orientation des groupes russophones à motivation financière vers les banques étrangères.

La disparition progressive des chevaux de Troie pour PC et Android

La tendance à la disparition des chevaux de Troie pour PC du paysage des cybermenaces se poursuit: en Russie - au «domicile» de ce type de malware - ils ont cessé de les écrire. Le Brésil était le seul pays à créer activement des chevaux de Troie, mais leur utilisation est exclusivement locale. Seul Trickbot a considérablement évolué au cours de l'année écoulée et peut désormais être utilisé à la fois pour des attaques ciblées contre des banques et pour espionner des agences gouvernementales, comme ce fut le cas avec le cheval de Troie Zeus.

Les chevaux de Troie pour Android disparaissent plus lentement que pour les PC, cependant, dans tous les cas, le nombre de nouveaux est plusieurs fois moins obsolète. De nouveaux programmes évoluent de l'interception de SMS au transfert automatique de fonds via des applications mobiles bancaires - remplissage automatique.
Le nombre de chevaux de Troie actifs continuera de diminuer en raison de l'introduction de défenses et d'une forte réduction des avantages économiques pour les attaquants.

L'évolution de l'ingénierie sociale sans code malveillant

Dans le contexte de la chute des chevaux de Troie, la menace d'une ingénierie sociale sans utilisation de code malveillant augmente. Les attaquants continuent d'utiliser de faux comptes sur les réseaux sociaux, d'appeler à partir de numéros fiables à l'aide de scripts bien conçus et d'acheter pour la fiabilité
base de données des passeports, etc. Des méthodes relativement nouvelles d'ingénierie sociale comprennent le contrôle du téléphone à l'aide de programmes d'accès à distance que les victimes installent sur leurs appareils sous la direction de fraudeurs téléphoniques.

Croissance du marché des cartes grâce à JS Sniffer

Avec une baisse des rendements financiers de l'utilisation des chevaux de Troie bancaires pour PC et Android, les attaquants ont commencé à utiliser un moyen plus efficace de gagner de l'argent - JS-sniffers. Déjà, leur nombre dépasse le nombre de chevaux de Troie, et le nombre total de cartes compromises avec leur aide a augmenté de 38%. Les renifleurs JS deviendront la menace la plus dynamique, en particulier dans les pays où 3D Secure n'est pas courant.

Nouvelles attaques contre les sociétés d'assurance, de conseil et de construction

En 2019, des spécialistes du Groupe IB ont enregistré des attaques d'un nouveau groupe appelé RedCurl. Les principaux objectifs du groupe sont l'espionnage et le gain financier. Après avoir déchargé une documentation importante, les attaquants installent des mineurs dans l'infrastructure d'une entreprise compromise.
La particularité de ce groupe est la très haute qualité des attaques de phishing - pour chaque entreprise, les attaquants créent une lettre distincte. RedCurl utilise un cheval de Troie propriétaire unique qui communique avec le serveur de gestion via des services légitimes, ce qui rend très difficile la détection d'activités malveillantes
dans les infrastructures.

Depuis plus de 16 ans, les experts du Group-IB enquêtent sur les cyberincidents en analysant les outils et l'infrastructure des attaquants. Chaque nouvelle cyberattaque vise
à une entreprise, un parti politique ou une infrastructure critique, nous donne l'occasion de voir l'évolution des tactiques et des outils pour leur mise en œuvre. Nous sommes profondément convaincus que les organisations publiques et les acteurs privés qui luttent contre la cybercriminalité doivent partager leurs données et publier
leurs recherches.

Grâce à l'utilisation d'outils uniques pour surveiller l'infrastructure des cybercriminels, ainsi qu'à une étude approfondie des recherches d'autres équipes de cybersécurité dans différents pays, nous trouvons et confirmons des modèles communs qui forment une image intégrale du développement des cybermenaces. Sur cette base, nous formulons des prévisions qui se réalisent chaque année tout au long de la vie du rapport.

Téléchargez le rapport complet sur les tendances de la criminalité high-tech 2019/2020 ici .