Selon le Managed XDR Global Threat Report de Barracuda, l’usurpation d’identité et l’abus de droits d’accès constituent un cyberrisque majeur. Les connexions Microsoft 365 anormales et les modifications des droits d’administration s’avèrent souvent être les premiers signes d’une attaque.
L’usurpation d’identité et l’abus de droits d’administration figurent parmi les cyberrisques les plus importants pour les organisations. C’est ce qui ressort du Managed XDR Global Threat Report de Barracuda, basé sur l’analyse d’un grand nombre d’événements informatiques. Selon le rapport, les connexions Microsoft 365 anormales et la manipulation des droits d’accès constituent souvent les premiers indices d’une attaque en cours.
Identités numériques
L’analyse montre que les attaquants ciblent de plus en plus les identités numériques. Dans 32 % des cas, une connexion Microsoft 365 anormale a été le premier signal d’une attaque. De plus, un « voyage impossible » a été constaté dans 17 % des incidents. Il s’agit d’un utilisateur se connectant en peu de temps à partir de deux lieux géographiquement trop éloignés pour que la distance puisse être parcourue dans le délai imparti.
Selon Barracuda, les identifiants volés jouent un rôle crucial dans l’intrusion des systèmes. Après un premier accès, les attaquants tentent de rester indétectables sur un réseau. Ils essaient ensuite d’obtenir des droits d’accès plus élevés et de désactiver les mécanismes de sécurité.
Élévation de privilèges
Dès que les attaquants accèdent à un système, ils tentent souvent d’obtenir des droits d’administration. Avec de tels droits, ils peuvent par exemple désactiver les logiciels de sécurité ou propager des ransomwares.
Sous Windows, dans 42 % des cas, un utilisateur a été ajouté à un groupe disposant de privilèges élevés, tel que Domain Administrators. Dans les environnements cloud, un nouvel utilisateur a été ajouté au groupe Global Administrator de Microsoft 365 dans 16 % des incidents.
Combinaison de techniques d’attaque
Le rapport décrit également des combinaisons de techniques qui surviennent souvent ensemble lors des attaques. Ainsi, PowerShell a été utilisé dans 66 % des incidents impliquant des malwares sans fichier. Par conséquent, de telles attaques échappent souvent aux scanners de sécurité traditionnels.
Le « password spraying » constitue une autre technique fréquemment utilisée. Dans 44 % des incidents liés aux pare-feu, les attaquants ont testé un grand nombre de mots de passe courants sur des noms d’utilisateurs connus. Par ailleurs, 34 % des incidents ont débuté par de l’ingénierie sociale, où les utilisateurs sont trompés pour télécharger des fichiers malveillants.
Le rapport souligne également des problèmes de configuration des mesures de sécurité. Dans 94 % des cas étudiés, l’agent de point de terminaison était désactivé. En conséquence, toute visibilité sur ce qui se passe sur l’appareil fait défaut.