Le second semestre 2023 a été marqué par d'importants incidents de cybersécurité. Cl0p, un groupe cybercriminel notoirement connu pour ses attaques de ransomware à grande échelle, a attiré l'attention par son vaste "hack MOVEit", qui, étonnamment, n'a pas impliqué le déploiement systématique de rançongiciels. Ces attaques ont ciblé de nombreuses organisations, notamment des entreprises internationales et des agences gouvernementales américaines. L’évolution majeure dans la stratégie de Cl0p fut de publier les informations volées sur des sites web ouverts dans le monde entier lorsque la rançon n'était pas payée, une tendance également suivie par le gang du ransomware ALPHV. Selon le FBI, le déploiement simultané de plusieurs variantes de ransomware et l'utilisation de wipers après le vol et le chiffrement des données sont de nouvelles stratégies rencontrées sur la scène des ransomwares.
Dans le domaine de l'IOT (Internet des Objets), nos chercheurs ont fait une découverte remarquable. Ils ont identifié un kill switch utilisé pour rendre le botnet Mozi IoT inopérant. Il est important de souligner que le botnet Mozi est l'un des plus importants de ce type que nous ayons surveillé au cours des trois dernières années. La soudaine disparition de Mozi soulève la question de savoir si le kill switch a été déployé par les créateurs du botnet ou par les forces de l'ordre chinoises. Une nouvelle menace, Android/Pandora, est apparue dans ce même contexte, compromettant des appareils Android tels que les téléviseurs intelligents, les boîtiers de télévision et les appareils mobiles, les utilisant pour des attaques DDoS.
Au cœur des discussions sur les attaques basées sur l'intelligence artificielle, nous avons repéré des campagnes spécifiques ciblant les utilisateurs d'outils tels que ChatGPT. De plus, nous avons constaté un nombre significatif de tentatives d'accès à des domaines malveillants portant des noms semblables à "chapgpt", probablement en lien avec le chatbot ChatGPT. Les menaces associées à ces domaines incluent des applications web qui gèrent de façon non sécurisée les clés API OpenAI, mettant en évidence l'importance de protéger la confidentialité de vos clés API.
Nous avons également observé une hausse des cas de logiciels espions sur Android, principalement liée à la présence du logiciel espion SpinOk. Ce logiciel malveillant est dissimulé dans diverses applications Android légitimes et est distribué sous la forme d'un kit de développement logiciel. Par ailleurs, l'une des menaces les plus fréquentes repéré au cours du second semestre 2023 est un code JavaScript malveillant vieux de trois ans, identifié sous le nom de JS/Agent, qui continue d'être chargé par des sites web compromis. De même, Magecart, une menace qui s'en prend aux données des cartes de crédit, continue de se développer depuis deux ans en ciblant des myriades de sites web non sécurisés. Dans ces trois cas, des mesures de sécurité adéquates de la part des développeurs et des administrateurs auraient pu prévenir ces attaques.
Enfin, l'augmentation de la valeur du bitcoin n´est pas accompagnée d'une augmentation correspondante de menaces liées aux crypto-monnaies, ce qui va à l'encontre des tendances précédentes. Néanmoins, les crypto-marchands ont subi une augmentation significative, attribuable à l'émergence du voleur d'informations Lumma Stealer, ciblant spécifiquement les portefeuilles de crypto-monnaies.
Ces évolutions témoignent de la dynamique constante de la cybersécurité, où les acteurs des menaces exploitent une vaste gamme de tactiques.
Suivez la recherche ESET sur Twitter pour des mises à jour régulières sur les tendances clés et les principales menaces.
Pour en savoir plus sur la façon dont la veille sur les menaces peut améliorer la posture de cybersécurité de votre organisation, visitez la page ESET Threat Intelligence.
