Lors de son week-end annuel de cybersécurité pour la région du Moyen-Orient, de Turkiye et de l’Afrique (META), l’équipe mondiale de recherche et d’analyse de Kaspersky a présenté les tendances de la cybersécurité, notamment le ransomware, les menaces persistantes avancées (APTS), les attaques de chaîne d’approvisionnement, les menaces mobiles, les développements IA et IOT.
Les experts de Kaspersky suivent constamment des attaques très sophistiquées. Plus précisément, ils surveillent 25 groupes APT actuellement actifs dans la méta-région, y compris des bien connus tels que Sidewinder, Origami Elephant et Muddywater. TLa montée des exploits créatifs pour le développement mobile et le développement ultérieur de techniques visant à échapper à la détection sont parmi les tendances que Kaspersky que Kaspersky voit dans ces attaques ciblées.
À un niveau plus large, le premier trimestre de 2025 a montré que Turkiye et le Kenya avaient le plus grand nombre d’utilisateurs touchés par des incidents Web (menaces en ligne) – 26,1% et 20,1% respectivement. Ils ont été suivis par le Qatar (17,8%), le Nigéria (17,5%) et l’Afrique du Sud (17,5%).
Ramsomware reste l’une des cyber-états les plus destructeurs. Selon les données de Kaspersky, la part des utilisateurs touchés par les attaques de ransomware a augmenté par 0,02 pp à 0,44% De 2023 à 2024 dans le monde. Au Moyen-Orient, la croissance est de 0,07 pp à 0,72%, en Afrique: 0,01 pp de croissance à 0,41%, en Turkiye 0,06 pp de croissance à 0,46%. Les attaquants ne distribuent souvent pas ce type de logiciels malveillants à l’échelle de masse, mais hiérarchisent les cibles de grande valeur, ce qui réduit le nombre global d’incidents. Bien que le ransomware n’augmente pas largement, cela ne signifie pas qu’il devient moins dangereux.
Partage des utilisateurs du réseau de sécurité de Kaspersky dont les ordinateurs ont été attaqués par crypto-ransomware.
Dans le Moyen-Orient Les ransomwares ont affecté une part plus élevée d’utilisateurs en raison de la transformation numérique rapide, de l’élargissement des surfaces d’attaque et des niveaux différents de la maturité de la cybersécurité. Les ransomwares sont moins répandus dans Afrique En raison des niveaux de numérisation et de contraintes économiques plus faibles, ce qui réduit le nombre de cibles de grande valeur. Cependant, comme des pays comme l’Afrique du Sud et le Nigéria élargissent leurs économies numériques, les attaques de ransomwares sont en hausse, en particulier dans les secteurs de la fabrication, des finances et du gouvernement. La sensibilisation et les ressources limitées à la cybersécurité laissent de nombreuses organisations vulnérables, bien que la plus petite surface d’attaque signifie que la région reste derrière les points chauds mondiaux.
Tendances des ransomwares
- Les outils d’IA sont de plus en plus utilisés dans le développement des ransomwarescomme l’ont démontré Funksec, un groupe de ransomware qui a émergé fin 2024 et a rapidement acquis une notoriété en dépassant des groupes établis comme CL0P et RansomHub avec plusieurs victimes revendiquées en décembre seulement. Opérant dans le cadre d’un modèle Ransomware-as-a-Service (RAAS), Funksec utilise des tactiques à double extorsion – combinant le chiffrement des données avec l’exfiltration – ciblant des secteurs tels que le gouvernement, la technologie, la finance et l’éducation en Europe et en Asie. La forte dépendance du groupe à l’égard des outils assistées par l’IA le distingue, avec ses ransomwares avec du code généré par l’AI, avec des commentaires impeccables, probablement produits par des modèles de grande langue (LLM) pour améliorer le développement et échapper à la détection. Contrairement aux groupes de ransomware typiques exigeant des millions de personnes, Funksec adopte une approche à faible volume et à faible coût avec des demandes de rançon inhabituellement faibles, mettant davantage en soulignant son utilisation innovante de l’IA pour rationaliser les opérations.
- En 2025, les ransomwares devraient évoluer en exploitant les vulnérabilités non conventionnellescomme le montrent le gang Akira Utilisation d’une webcam pour contourner les systèmes de détection et de réponse des points de terminaison et infiltrer les réseaux internes. Les attaquants sont susceptibles de cibler de plus en plus des points d’entrée négligés comme les appareils IoT, les appareils intelligents ou le matériel erroné sur le lieu de travail, capitalisant sur la surface d’attaque en expansion créée par les systèmes interconnectés. Alors que les organisations renforcent les défenses traditionnelles, les cybercriminels affineront leurs tactiques, se concentrant sur la reconnaissance furtive et le mouvement latéral dans les réseaux pour déployer des ransomwares avec une plus grande précision, ce qui rend plus difficile pour les défenseurs de détecter et de répondre à temps.
- La prolifération des LLMS adaptées à la cybercriminalité amplifiera encore la portée et l’impact de Ransomware. Les LLM commercialisées sur le Web Dark abaissent la barrière technique à la création de code malveillant, des campagnes de phishing et des attaques d’ingénierie sociale, permettant aux acteurs encore moins qualifiés de créer des leurres très convaincants ou d’automatiser le déploiement des ransomwares. Comme des concepts plus innovants tels que RPA (Robotic Process Automation) et Coder basqui fournissent une interface intuitive, visuelle visuelle et assistée par l’IA, pour le développement rapide des logiciels, sont rapidement adoptées par les développeurs de logiciels, nous pouvons nous attendre à ce que les développeurs de ransomware utilisent ces outils pour automatiser leurs attaques ainsi que le développement de nouveaux code, ce qui rend la menace de ransomware encore plus répandue.
«Les ransomwares sont l’une des menaces de cybersécurité les plus urgentes auxquelles sont confrontés les organisations aujourd’hui, les attaquants ciblant les entreprises de toutes tailles et dans toutes les régions, y compris les groupes de ransomwares en méta. Points d’entrée négligés – y compris les appareils IoT, les appareils intelligents et le matériel de travail mal configuré ou obsolète. «Pour rester en sécurité, les organisations ont besoin d’une défense en couches: systèmes à jour, segmentation du réseau, surveillance en temps réel, sauvegardes robustes et éducation continue des utilisateurs».
Kaspersky encourage les organisations à suivre ces meilleures pratiques pour protéger leurs actifs:
- Gardez toujours le logiciel à jour sur tous les appareils que vous utilisez pour empêcher les attaquants d’exploiter les vulnérabilités et d’infiltrer votre réseau.
- Concentrez votre stratégie de défense sur la détection des mouvements latéraux et de l’exfiltration des données sur Internet. Portez une attention particulière au trafic sortant pour détecter les connexions des cybercriminels à votre réseau. Configurez les sauvegardes hors ligne avec lesquelles les intrus ne peuvent pas altérer. Assurez-vous que vous pouvez y accéder rapidement en cas de besoin ou en cas d’urgence.
- Offrez à votre équipe SOC un accès aux dernières renseignements sur les menaces et les rendez-vous régulièrement une formation professionnelle. Utilisez le dernier Intelligence de menace Informations pour rester conscients des tactiques, techniques et procédures réelles (TTP) utilisées par les acteurs de la menace.
- Activer la protection des ransomwares pour tous les points de terminaison. Il y a un gratuit Outil de anti-ransomware Kaspersky pour les entreprises qui protège les ordinateurs et les serveurs des ransomwares et d’autres types de logiciels malveillants, empêche les exploits et est compatible avec des solutions de sécurité déjà installées.
- Pour protéger l’entreprise contre un large éventail de menaces, utilisez des solutions Kaspersky Suivant Ligne de produit qui offre une protection en temps réel, une visibilité des menaces, une enquête et des capacités de réponse de EDR et XDR pour les organisations de toute taille et de toute industrie. Selon vos besoins actuels et vos ressources disponibles, vous pouvez choisir le niveau de produit le plus pertinent et migrer facilement vers un autre si vos exigences de cybersécurité changent.
