Pour la quatrième année consécutive, Elastic Security Labs présente son 2025 Global Threat Report, distillant des données télémétriques d'utilisateurs du monde réel pour offrir un aperçu critique de l'évolution du paysage des menaces. Le rapport de cette année analyse la manière dont l'IA redéfinit les menaces, met en évidence les domaines dans lesquels les adversaires intensifient leurs efforts et propose aux entreprises des stratégies concrètes pour contrer de manière proactive ces risques émergents.
Faits marquants
-
Les priorités des adversaires de Windows changent. La catégorie de tactique " Exécution" représente désormais près du double de sa part précédente et dépasse la tactique "Évasion de la défense" en tant que première tactique.
-
La surface d'attaque du nuage est très concentrée. Plus de 60% de tous les événements liés à la sécurité de l'informatique en nuage se résument à trois objectifs de l'adversaire : L'accès initial, la persistance et l'accès aux données d'identification.
-
Les adversaires utilisent l'IA pour abaisser la barrière d'entrée de la cybercriminalité. Nous avons constaté une augmentation des menaces génériques, une tendance probablement influencée par des adversaires utilisant de grands modèles de langage (LLM) pour générer rapidement des chargeurs et des outils malveillants simples mais efficaces.
-
Le vol des informations d'identification des navigateurs s'est industrialisé. Notre analyse de plus de 150 000 échantillons de logiciels malveillants a révélé que plus d'un sur huit est conçu pour voler les données du navigateur. Il ne s'agit pas d'une utilisation isolée ; ces identifiants sont la matière première qui alimente l'économie des courtiers d'accès, fournissant un approvisionnement régulier de clés à d'autres attaquants pour compromettre les comptes d'entreprise dans le nuage.
Ce que nous avons appris du rapport
Le paysage de la sécurité est en pleine mutation. L'innovation des adversaires en matière de menaces basée sur l'IA évolue à un rythme accéléré grâce à la synthèse d'informations rationalisée et aux flux de travail automatisés. Il en résulte une plus grande diversité des capacités des adversaires et de nouvelles voies d'accès indirectes. Le rôle de l'IA dans les deux camps de la cyberbataille devrait évoluer considérablement à mesure que ces technologies se généraliseront.
Ce rapport met en lumière les activités réelles des menaces, révélant un changement fondamental dans la manière dont les adversaires réussissent aujourd'hui. Il comprend également une nouvelle section décrivant notre visibilité à partir de sources autres que la télémétrie, mettant en évidence les familles de logiciels malveillants et les comportements menaçants qui ont été observés à l'extérieur.
Les courtiers en accès ont de plus en plus recours à des voleurs d'informations pour se tenir à l'écart des efforts de défense collective, ce qui accroît considérablement les risques d'exposition des informations d'identification par le biais du stockage en nuage et d'autres services. Les logiciels trojans, qui représentaient environ 61% de tous les échantillons de logiciels malveillants observés, ont joué un rôle majeur ; la méthode ClickFix est l'une des techniques les plus couramment utilisées pour diffuser des trojans et des voleurs d'informations. Plus de 24% des échantillons de logiciels malveillants sur Windows représentaient des familles de codes d'infosteller nommées.
Les techniques de défense et d'évasion occupent la première place depuis plusieurs années. Ce phénomène est dû à l'amélioration des capacités de détection et de réaction, qui pousse les adversaires à se tourner vers des dispositifs de pointe dotés d'une grande capacité de développement d'exploits. L'exécution a atteint plus de 32% des techniques, suivie par l'évasion de défense à 23% et l'accès initial à 19%. Ensemble, ces grandes tendances révèlent que les attaquants investissent dans l'acquisition d'un point d'ancrage bon marché avec une exposition minimale et dans l'exécution rapide d'autres codes malveillants. Les scripts et les techniques basées sur le navigateur, ainsi que les tentatives de compromission de SaaS, nous montrent un autre aspect de ces tendances en matière de menaces et mettent en évidence les domaines dans lesquels de nombreuses entreprises pourraient améliorer leurs défenses.
Les profils de menaces pour BANSHEE, EDDIESTEALER et ARECHCLIENT2 montrent comment certaines des découvertes les plus populaires de l'équipe Elastic Security Labs ont utilisé des voleurs d'informations. REF7707, une campagne de menaces impliquant les familles de logiciels malveillants FINALDRAFT, PATHLOADER et GUIDLOADER, fournit des détails sur la façon dont une menace motivée par l'espionnage a échappé aux défenses en utilisant GraphAPI de Microsoft pour le C2. Sans la visibilité partagée par nos clients, ces menaces auraient pu avoir un impact beaucoup plus important avant d'être révélées.
Naviguez dans le paysage des menaces de l'ère de l'IA avec Elastic
Elastic Security Labs se consacre à la fourniture de recherches cruciales et opportunes en matière de sécurité à la communauté du renseignement. Ce rapport révèle un changement dans le paysage des menaces, dans lequel l'IA continue de faire surface en tant qu'outil pour les adversaires comme pour les défenseurs. Avec Elastic comme partenaire, ce rapport 2025 sur les menaces mondiales d'Elastic vous permet de prendre des décisions éclairées sur la meilleure façon de faire face à ces menaces en constante évolution.
La publication et la date de publication de toute fonctionnalité ou fonction décrite dans le présent article restent à la seule discrétion d'Elastic. Toute fonctionnalité ou fonction qui n'est actuellement pas disponible peut ne pas être livrée à temps ou ne pas être livrée du tout.
Dans cet article de blog, nous pouvons avoir utilisé ou fait référence à des outils d'IA générative de tiers, qui sont détenus et exploités par leurs propriétaires respectifs. Elastic n'a aucun contrôle sur les outils de tiers et nous ne sommes pas responsables de leur contenu, de leur fonctionnement ou de leur utilisation, ni de toute perte ou de tout dommage pouvant résulter de votre utilisation de ces outils. Soyez prudent lorsque vous utilisez des outils d'IA avec des informations personnelles, sensibles ou confidentielles. Les données que vous soumettez peuvent être utilisées pour la formation à l'IA ou à d'autres fins. Il n'y a aucune garantie que les informations que vous fournissez resteront sécurisées ou confidentielles. Vous devez vous familiariser avec les pratiques en matière de protection de la vie privée et les conditions d'utilisation de tout outil d'IA générative avant de l'utiliser.
Elastic, Elasticsearch et les marques associées sont des marques commerciales, des logos ou des marques déposées d'Elasticsearch N.V. aux États-Unis et dans d'autres pays. Tous les autres noms de produits et d'entreprises sont des marques commerciales, des logos ou des marques déposées appartenant à leurs propriétaires respectifs.