Group-IB dévoile les tendances cyber: la France est le pays le plus touché en Europe par les fuites de données, les attaques de ransomwares augmentant de 45 % en 2023
AMSTERDAM, 28 février 2024 /PRNewswire/ -- Group-IB, éditeur de premier plan de technologies de cybersécurité visant à étudier, à prévenir et à combattre les infractions digitales, dresse un tableau complet des cybermenaces en Europe pour les années 2023-2024 dans son rapport annuel Hi-Tech Crime Trends. Ce document analyse en profondeur l'évolution des problématiques liées à la cybersécurité en Europe.
En 2023, l'équipe de recherche de Group-IB a constaté que le nombre d'attaques par ransomware en Europe a augmenté d'environ 52%, les entreprises de l'industrie manufacturière, de l'immobilier et du secteur des transports restant les principales victimes. Le Royaume-Uni, la France et l'Allemagne figurent toujours en tête des pays les plus fréquemment ciblés par les affiliés travaillant dans des opérations RaaS (Ransomware-as-a-Service). Durant l'année 2023, la région a été le théâtre de 108 cyberattaques perpétrées par divers groupes de hackers appuyés par des États. Les institutions publiques et militaires étaient les premières visées, avec un total de 48 attaques à leur encontre. Les malwares voleurs d'informations constituent une préoccupation majeure. En effet, 250 000 appareils infectés en Europe (soit 23 % de plus qu'en 2022) ont vu leurs journaux publiés sur des UCL (Underground Clouds of Logs), tandis que les journaux de 647 485 hôtes supplémentaires ont été mis en vente sur des marchés illégaux (+28 % par rapport à l'année précédente). Toutefois, ce rapport met en évidence une baisse de 7 % du nombre d'offres de vente d'accès initial aux réseaux compromis dans la région. Enfin, un peu plus d'un million de cartes compromises enregistrées en Europe ont été recensées sur les réseaux souterrains de la cybercriminalité en 2023 — sans changement par rapport à 2022.
L'Europe dans le viseur
D'après les constatations de l'équipe de recherche de Group-IB, l'Europe s'est classée au deuxième rang mondial des régions les plus touchées par les APT (Advanced Persistent Threats) l'an dernier. Dans l'ensemble, Group-IB a attribué 523 attaques aux acteurs se réclamant d'États-nations à travers le monde en 2023. Dans 21 % des cas, ces dernières prenaient pour cible des organisations européennes. L'Europe a ainsi été victime de 108 cyberattaques perpétrées par divers groupes de hackers appuyés par un État. Parmi les plus notoires opérant en Europe figuraient Lazarus, Mustang Panda, APT41 et Sandman (tous originaires d'Asie de l'Est), ainsi qu'APT28, BlackEnergy, Gamaredon, Turla et Callisto (tous originaires de la Communauté des États indépendants [CEI]). Leurs attaques complexes et ciblées soulignent la tendance croissante d'exploitation du cyberespace en vue d'atteindre des objectifs de nature gouvernementale.
Avec 31 incidents recensés, l'Ukraine a été la première victime d'attaques perpétrées par des acteurs de la menace se réclamant d'États-nations, reflet probable des conflits politiques en cours dans la région. Les quatre autres pays les plus ciblés en Europe par les groupes APT étaient la Pologne (11 attaques), puis l'Allemagne, la France et l'Italie avec 6 attaques chacune.
Visées par 48 attaques, les instances gouvernementales et militaires en Europe constituaient le principal secteur d'intérêt des groupes APT. Cela prouve que les groupes appuyés par un État cherchent particulièrement à toucher des domaines influant sur la sécurité nationale et la politique étrangère.
Zoom sur les ransomware: croissance multipliée par deux en 2023
Les attaques par ransomware, toujours largement premières en termes d'échelle et d'impact, ont continué de faire planer leur spectre sur le marché européen. Là encore, l'Europe s'avère la deuxième région la plus ciblée dans le monde, après l'Amérique du Nord. En effet, 1 186 entreprises ont vu leurs informations détournées vers des sites de fuite de données (DLS), contre 781 victimes en Europe l'an dernier, soit une hausse d'environ 52 %.
En 2023, l'industrie manufacturière a été la plus ciblée dans la région, avec 16 % des fuites de données vers des DLS, tous secteurs confondus. L'immobilier s'est classé en deuxième position avec 8 % du nombre total d'attaques perpétrées dans la région. Venait ensuite le secteur des transports, pris pour cible dans 5 % des cas.
Parmi les groupes de ransomware les plus actifs de la région, LockBit a mené 26 % des attaques en Europe, devant Play (9 %) et Black Basta (7 %). Avec 245 entreprises victimes d'attaques par ransomware en 2023, soit une croissance considérable d'environ 73 %, le Royaume-Uni est devenu le pays d'Europe le plus touché par la fuite de données vers des DLS. Le nombre d'entreprises concernées en France (149) a augmenté de 45 %, tandis que l'Allemagne a enregistré une hausse de 12 %, avec 145 entreprises prises pour cible.
Marché baissier: ralentissement des activités de courtage
Les opérateurs du ransomware qui vendent l'accès initial à des réseaux d'entreprise sur le darkweb, appelés « courtiers en accès initial » ou IAB (Initial Access Broker), ont connu un léger ralentissement d'activité, le temps de s'adapter aux exigences d'autres acteurs de la menace en Europe.
En 2023, 628 ventes d'accès à des réseaux d'entreprise ont été recensées en Europe, soit une baisse de 7 % par rapport à 2022 (674 cas). Les cinq pays européens les plus ciblés par les IAB étaient le Royaume-Uni (111), la France (83), l'Espagne (70), l'Allemagne (63) et l'Italie (62).
Le secteur des services professionnels a été le plus touché en 2023, avec 52 offres d'accès (8 % à l'échelle de la région): c'est deux fois plus qu'en 2022. Venaient ensuite l'industrie manufacturière avec 44 offres émanant d'IAB (7 % à l'échelle de la région) et le commerce/shopping avec 37 offres (6 %).
Les offres d'accès aux VPN ont diminué de 50 %, tandis que les offres de connexion RDP ont augmenté de 34 %. Les offres d'accès avec droits utilisateur ont bondi de 35 % en 2023, signe d'une différenciation d'accès renforcée par les entreprises ou d'un manque de compétences parmi les IAB.
Le courtier en accès initial le plus actif dans la région répondait au surnom de mazikeen, un nouvel acteur de la menace à l'œuvre depuis janvier 2023. Dans la plupart des cas (98 %), mazikeen a vendu l'accès à des réseaux d'entreprise via des comptes RDP compromis. Parmi ses victimes figurait un tiers d'entreprises établies en Europe. La quasi-totalité des offres comprenait des renseignements sur le pays et le secteur d'activité de l'entreprise, les droits et le niveau d'accès, ainsi que les systèmes antivirus en place.
Au vu de l'activité de mazikeen, les experts de Group-IB ont conclu qu'il s'agissait d'un acteur de la menace russophone se déclarant de sexe féminin, ce qui est rare dans le milieu de la cybercriminalité. Sur les forums, mazikeen a indiqué qu'elle n'analyse pas les réseaux d'entreprise mis en vente et qu'elle n'établit pas de persistance. Jugés parmi les plus bas du marché, ses tarifs de courtage débutent à 30 $ pour atteindre en moyenne 180,20 $.
Vol de données par Raccoon et compagnie
Les journaux des malware voleurs d'informations sont désormais le principal moyen employé par les cybercriminels pour accéder aux réseaux d'entreprise, en raison de leur simplicité doublée d'une redoutable efficacité. Les voleurs d'informations récupèrent les identifiants de connexion enregistrés dans les navigateurs web, les données des cartes bancaires et des portefeuilles cryptographiques, les cookies, l'historique de navigation et d'autres informations provenant des navigateurs installés sur les ordinateurs infectés.
Les UCL (Underground Clouds of Logs) gratuits sont l'une des principales sources de données concernant les hôtes infectés. Il s'agit de services spéciaux permettant d'accéder aux informations confidentielles compromises, volées pour la plupart par ces malwares. Les UCL publient quotidiennement de plus en plus de journaux contenant plusieurs gigaoctets de données. L'an dernier, plus de 250 000 hôtes uniques infectés en Europe ont vu leurs journaux publiés sur des UCL, soit une hausse de 23 %.
En tête, l'Espagne a connu une augmentation de 48 % du nombre d'hôtes sur les UCL (31 665), alors qu'elle n'arrivait qu'en troisième position il y a un an. La France, première du classement en 2022, a enregistré un recul de 3 % et passe en deuxième position avec 25 873 hôtes sur les UCL. La Pologne clôture le trio de tête des pays les plus touchés en Europe avec une hausse de 6 % (23 393 hôtes). Enfin, une forte augmentation a été constatée en Allemagne (+32 % à 22 966) et en Italie (+18 % à 22 309) au cours de l'année 2023.
Comparativement à 2022, la liste des trois voleurs d'informations les plus prisés et dont les journaux figuraient le plus fréquemment sur les UCL a légèrement évolué. Vidar, deuxième l'an dernier, a reculé en quatrième position, devancé par МЕТА. Cette année, RedLine Stealer, META et Raccoon ont été les trois principaux voleurs d'informations à l'œuvre en Europe.
Les marchés illégaux sont également en plein essor. Contrairement aux UCL, où la plupart des journaux sont diffusés gratuitement, les marchés illégaux sont systématiquement utilisés pour vendre les journaux des hôtes compromis par les voleurs d'informations. En 2023, 647 485 hôtes apparentés à l'Europe ont été mis en vente, soit une hausse de 28 % par rapport à 2022. Pour la première fois en 2023, l'Espagne est apparue comme la cible principale avec 73 788 journaux détectés sur les marchés illégaux: un nombre en hausse de plus de 42 % par rapport à l'année précédente. Venaient ensuite l'Italie avec 72 138 journaux (+33 %) et la France avec 69 026 journaux (+23 %). Raccoon, LummaC2 et RedLine Stealer sont les voleurs d'informations les plus populaires chez les cybercriminels ciblant cette région.
Fuites en cascade
En 2023, 386 nouvelles fuites de données dans le domaine public ont été décelées en Europe. Dans le cadre de ces incidents, plus de 292 034 484 chaînes contenant des données utilisateurs ont été compromises. La France, l'Espagne et l'Italie ont été les pays les plus durement touchés, avec respectivement 64, 62 et 52 fuites de données recensées.
Les adresses électroniques, les numéros de téléphone et les mots de passe présentent le plus haut niveau de risque, car ces données peuvent toutes être exploitées par les acteurs de la menace pour mener différents types d'attaques. Sur l'ensemble des fuites, 140 642 816 entrées contenaient des adresses électroniques (dont 96 590 836 uniques). Par ailleurs, la fuite de 9 784 230 mots de passe (dont 3 832 504 uniques) et de 157 074 355 numéros de téléphone (dont 95 728 584 uniques) a été recensée.
Partager cet article