Des chercheurs de la firme de sécurité Sophos ont constaté que ce qu’on appelle en jargon le ‘dwell time’ a crû de 36 pour cent en 2021. Il s’agit là du temps passé par des agresseurs dans le réseau d’une organisation, avant qu’ils ne soient détectés.
Alors qu’en 2020, le ‘dwell time’ moyen des hackers était encore de onze jours, il a l’année dernière atteint quinze journées. L’enquête menée par Sophos dévoile également un plus long ‘dwell time’ de la part des agresseurs dans des entreprises plus petites. Dans des firmes occupant moins de 250 personnes, les hackers demeurent en effet quelque 51 jours, contre 20 jours environ dans des organisations comptant de trois à cinq mille collaborateurs.
Motivation supérieure
‘Pour les agresseurs, il y a davantage de valeur dans les plus grandes organisations. Ils sont donc plus motivés à y pénétrer, à mettre la main sur ce qu’ils souhaitent, avant de disparaître. Les plus petites entreprises s’avérant moins intéressantes, les hackers peuvent se permettre de rester plus longtemps à l’arrière-plan dans leur réseau’, précise John Shier, senior security advisor chez Sophos.
Une autre explication est que certains pirates sont moins expérimentés et ont besoin de plus de temps pour rechercher ce qu’ils veulent une fois qu’ils ont pénétré dans le réseau d’une entreprise. ‘Enfin, les plus petites organisations ont en général une moins bonne vision des angles d’attaque et mettent par conséquent davantage de temps pour détecter les agresseurs et les mettre hors d’état de nuire’, explique Shier.
Initial Access Brokers
Le rapport d’enquête aborde aussi l’impact de ce qu’on appelle les failles ProxyShell. Sophos estime que certains Initial Access Brokers (IAB) les exploitent pour pénétrer dans des réseaux et vendre ensuite cet accès à d’autres hackers.
‘En raison des possibilités offertes par les failles ProxyShell non corrigées et par la percée des IAB, on constate assez souvent que plusieurs agresseurs visent une seule et même cible. Lorsqu’il y a beaucoup de trafic dans un réseau, les agresseurs font en sorte de prendre la concurrence de vitesse’, apprend-on encore.
Que sont exactement les IAB?
Les Initial Access Brokers sont les serruriers ou – mieux – les crocheteurs de serrure du monde numérique. Ils ont développé une industrie cybercriminelle à petite échelle, leur permettant de pénétrer par effraction chez une cible, d’en explorer l’environnement ou d’y installer une porte dérobée, puis ils revendent cet accès prêt à l’emploi à des groupes spécialisés en ransomware souhaitent eux-mêmes lancer des attaques.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici