Les acteurs de la menace de ransomware passent moins de temps sur les réseaux compromis avant que les solutions de sécurité ne tirent la sonnette d’alarme. Au cours du premier semestre, le temps de séjour médian des pirates informatiques est tombé à cinq jours, contre neuf en 2022.
Les statistiques de la société de cybersécurité Sophos montrent que la durée médiane globale de séjour de toutes les cyberattaques était de huit jours au premier semestre, contre dix en 2022.
La société note que les attaques de ransomware représentaient 68,75 % de toutes les cyberattaques enregistrées par Sophos cette année.
Sophos rapporte que le temps d’attente médian pour les incidents non liés aux ransomwares est passé de 11 à 13 jours cette année. Cela suggère que même si les acteurs de la menace de ransomware agissent plus rapidement, les autres cybercriminels qui effectuent des intrusions sur le réseau « ont tendance à s’attarder » et à attendre une opportunité.
Le temps de séjour moyen s’élève à 15-16 jours dans tous les cas, alors que le maximum observé cette année était supérieur à trois mois.
Sophos a observé une exfiltration de données dans 43,42 % des cas, soit une augmentation de 1,3 % par rapport à l’année dernière.
Il semble que le vol de données soit de plus en plus courant, car l’entreprise a constaté moins d’attaques de ce type, jusqu’à 31,58 % au premier semestre 2023, contre 42,76 % en 2022. Cette tendance est soutenue par une augmentation des incidents pour lesquels il a été confirmé qu’aucune donnée n’a été exfiltrée (en hausse de 1,32% à 9,21%).
Des tendances intéressantes apparaissent également lorsque l’on examine les données Sophos concernant les jours et les heures, indiquant que les acteurs de la menace, y compris les opérateurs de ransomwares, préfèrent frapper les organisations les mardis, mercredis et jeudis.
Les acteurs de la menace attaquent leurs cibles tard dans la journée de travail locale pour surprendre les équipes informatiques en sous-effectif et peu susceptibles de détecter l’intrusion et son développement sur le réseau.
Cependant, Sophos a constaté que la plupart des incidents de ransomware se produisent les vendredis et samedis, lorsque les entreprises sont les plus lentes à réagir car il est plus difficile de contacter les équipes techniques.
L’un des outils les plus abusés reste le protocole de bureau à distance (RDP), intégré à la plupart des versions de Windows. « Si l’on ajoute à cela le fait que l’utilisation d’identifiants compromis est monnaie courante et que l’authentification à un seul facteur est la norme, la raison pour laquelle les attaquants l’apprécient n’est pas un mystère », explique Sophos.
Les statistiques montrent que RDP a été utilisé dans 95 % des intrusions. Cependant, les attaquants ont utilisé RDP principalement pour des activités internes (93 % des cas) et seulement dans 18 % des cas pour des activités externes.
Pour ces raisons, Sophos recommande aux entreprises de faire de la sécurisation RDP une priorité, car refuser ce type d’accès pourrait obliger un pirate informatique à consacrer trop de temps et d’efforts à s’introduire par effraction, ce qui se traduit par plus de temps pour détecter l’intrusion.
Le stockage des données pendant une période raisonnable et leur vérification régulière constituent également un facteur important, car cela peut aider à détecter les acteurs malveillants déjà présents sur le réseau avant qu’ils ne passent à l’étape finale d’une attaque.
Il peut également fournir des informations clés aux défenseurs et aux intervenants en cas d’incident, avec une image claire de ce qui doit être fait et de la manière de résoudre le problème rapidement.