IBM X-FORCE: Attaques furtives sur la montée, les kits d’outils ciblant l’IA émergent

Les cybercriminels adoptent des tactiques de plus en plus furtives pour pénétrer dans les réseaux, tandis que les attaques ciblant des technologies d’IA spécifiques sont une menace émergente.

Ce ne sont que quelques-uns des principaux résultats de l’indice de renseignement sur les menaces X-Force, récemment publié par IBM X-Force, qui s’appuie sur les engagements de réponse aux incidents, Dark Web et d’autres sources de renseignement sur les menaces pour découvrir les tendances et les modèles d’attaque.

« L’obscurcissement devient une tactique importante pour les acteurs de la menace, et PDF Malware déguise les URL malveillantes en les chiffrant, en les cachant dans des flux compressés ou en utilisant des représentations hexadécimales qui peuvent également entraver l’analyse automatisée des solutions de sécurité par e-mail », a écrit IBM. «De tous les PDF, 42% ont utilisé des URL obscurcis, 28% ont caché leurs URL dans des flux PDF et 7% ont été livrés sous une forme cryptée avec un mot de passe.»

Une autre méthode d’infection astucieuse que les acteurs menacées utilisent consiste à masquer les logiciels malveillants dans des installateurs faux ou malades d’applications légitimes, selon IBM: «Les utilisateurs sont ensuite amenés à télécharger et à faire fonctionner des installateurs malveillants via des techniques telles que le phishing, l’empoisonnement du référencement et le malvertiser. Les tactiques jouent un rôle important dans la chaîne de compromis en usurpant les sites Web légitimes, obtenant ainsi des informations d’identification valides qui permettent de se connecter simple (c’est-à-dire en évitant la nécessité de pirater). »

Sur le front de l’IA, IBM X-Force rapporte que des attaques généralisées ciblant les modèles et les solutions AI n’ont pas encore émergé – encore.

« Bien que les attaques à grande échelle contre les technologies de l’IA ne se soient pas encore concrétisées, les chercheurs en sécurité se précipitent pour rester en avance, identifiant et fixant des vulnérabilités avant que les acteurs de la menace puissent les exploiter », a écrit Chris Caridi, analyste de menace stratégique chez IBM X-Force, dans un blog sur l’index. «Des problèmes tels que la vulnérabilité d’exécution du code distant que X-Force ont trouvé dans un cadre de création d’agents d’IA deviendront plus fréquents, et là où les faiblesses existent, les attaquants suivront. L’utilisation d’outils d’IA accessibles au public pour améliorer la production et automatiser les tâches telles que le codage et la rédaction par e-mail a également été documentée par X-Force.»

L’année dernière, X-Force a prédit qu’une fois que les technologies de l’IA «établissent la domination du marché – lorsqu’une seule technologie approche de 50% de parts de marché ou lorsque le marché se consolide à trois technologies ou moins – les attaqueurs seront incités à investir dans des kits d’outils d’attaque» qui ciblent les modèles et les solutions d’IA. « Sommes-nous encore là? Pas tout à fait, mais l’adoption augmente », indique le rapport. «Le pourcentage d’entreprises intégrant l’IA dans au moins une fonction commerciale a considérablement augmenté à 72% en 2024, en hausse de 55% par rapport à l’année précédente.»

«Les nouvelles technologies, telles que Gen IA, créent de nouvelles surfaces d’attaque. Les chercheurs en sécurité sprintent et aident à réparer les vulnérabilités avant que les attaquants ne le fassent. Nous nous attendons à des vulnérabilités dans les cadres d’IA pour devenir plus courants au fil du temps, comme le Code Remote Exécution Vulnérabilité X-Force trouvée dans un cadre pour la construction d’agents d’IA», a déclaré IBM. «Récemment, une campagne d’attaque active ciblant un cadre d’IA open source largement utilisé a été découverte, affectant l’éducation, la crypto-monnaie, le biopharmatage et d’autres secteurs. Les faiblesses de la technologie d’IA se traduisent par des vulnérabilités pour les attaquants à exploiter.»

Les résultats supplémentaires de X-Force comprennent:

• La dépendance à l’égard de la technologie héritée et des cycles de correction lente s’avère être un défi durable pour les organisations d’infrastructures critiques, car les cybercriminels ont exploité les vulnérabilités dans plus d’un quart des incidents auxquels IBM X-Force a répondu dans ce secteur l’année dernière. En examinant les vulnérabilités et expositions communes (CVE) les plus mentionnées sur les forums Web Dark, IBM X-Force a constaté que quatre des dix premiers ont été liés à des groupes d’acteurs de menaces sophistiqués, y compris des adversaires de l’État-nation, une augmentation du risque de perturbation, d’espionnage et d’extorsion financière.
• Les attaques de ransomwares continuent leur fléau. «L’analyse des données Web sombres révèle une augmentation de 25% de l’activité des ransomwares d’une année sur l’autre. L’adoption d’une approche multiplateforme des ransomwares, prenant en charge les surfaces d’attaque à la fois. Bien que la ransomware soit également éclipsée par d’autres tactiques, il reste une principale mène. indiqué. Les ransomwares représentent près d’un tiers (28%) des cas de réponse aux incidents de logiciels malveillants et 11% des cas de sécurité, ce qui représente une baisse au cours des dernières années.
• Alors que les attaques de phishing ont chuté dans l’ensemble, IBM a trouvé un pic de 84% dans les e-mails de phishing fournissant des infostateurs en 2024, et le début de 2025 montre une augmentation encore plus grande (180%). Ces informations d’identification volées peuvent être utilisées dans des attaques de suivi basées sur l’identité.
• Avec l’efficacité accrue des solutions de détection et de réponse (EDR) (EDR) détectant les efforts d’intrusion de porte dérobée via le phishing, les acteurs de la menace se sont déplacés vers l’utilisation du phishing comme vecteur d’ombre pour fournir des logiciels malveillants infoséaler. En 2024, X-Force a observé une augmentation de 84% des infostateurs délivrés par phishing. Il y a également eu une augmentation de 12% en glissement annuel des informations d’identification d’infostealer à vendre sur le Dark Web, ce qui suggère une utilisation accrue. Plus d’attaquants ont volé des données (18%) que cryptées (11%) l’an dernier en tant que technologies de détection avancées et augmentation des efforts d’application de la loi aux attaquants de pression pour pivoter sur des chemins de sortie plus rapides.
• En collaboration avec Red Hat Insights, IBM X-Force a constaté que plus de la moitié des environnements des clients de Red Hat Enterprise Linux avaient au moins un CVE critique non traité et 18% étaient confrontés à cinq vulnérabilités ou plus. Dans le même temps, IBM X-Force a trouvé les familles de ransomwares les plus actives (par exemple, Akira, Clop, Lockbit et RansomHub) prennent désormais en charge les versions Windows et Linux de leur ransomware.
• Pour la quatrième année consécutive, la fabrication était l’industrie la plus attaquée. Face au plus grand nombre de cas de ransomware l’année dernière, le retour sur investissement pour le chiffrement est solide pour ce secteur en raison de sa tolérance extrêmement faible pour les temps d’arrêt.