L’article publié par Cyfirma met en lumière les menaces croissantes auxquelles fait face le secteur des technologies de l’information. Au cours des 90 derniers jours, 44% des campagnes APT observées ciblaient ce secteur, qui est également en tête pour les discussions sur le dark web (18.3%) et l’exposition aux vulnérabilités (35.8%). Le secteur a connu 140 incidents de ransomware, avec le Japon comme pays le plus ciblé.
Les principaux acteurs de la menace identifiés sont les APT chinois (Volt Typhoon, Stone Panda) et les groupes russes (TA505, FIN11). Les fuites de données et les violations continuent de croître, bien que l’activité des ransomwares se soit stabilisée après des pics en début d’année.
L’analyse technique révèle que les applications web sont le principal vecteur d’attaque, exploitées dans 100% des campagnes, avec 62.5% utilisant des vulnérabilités du système d’exploitation. Les vulnérabilités d’exécution de code à distance ont atteint 127 instances, tandis que les attaques par injection ont grimpé à 63. Le gang de ransomware Qilin a fait 20 victimes, représentant 10.1% de leur activité totale.
La répartition géographique montre une forte concentration des victimes de ransomware aux États-Unis (45%), avec des baisses notables en Allemagne, en Italie et en Inde. Une analyse des discussions souterraines indique un passage du hacktivisme à des activités motivées par le profit.
Cet article est une analyse de menace visant à informer sur les tendances actuelles et les acteurs clés dans le paysage cybernétique.
🧠 TTPs et IOCs détectés
TTPs
[‘T1190: Exploit Public-Facing Application’, ‘T1210: Exploitation of Remote Services’, ‘T1059: Command and Scripting Interpreter’, ‘T1195: Supply Chain Compromise’, ‘T1078: Valid Accounts’, ‘T1486: Data Encrypted for Impact’, ‘T1071: Application Layer Protocol’, ‘T1566: Phishing’, ‘T1583: Acquire Infrastructure’, ‘T1584: Compromise Infrastructure’]
🔗 Source originale : https://www.cyfirma.com/research/cyfirma-industries-report-information-technology/