Le rapport de G DATA CyberDefense sur les menaces récentes montre que les entreprises sont davantage visées par les cybercriminels. Alors que le nombre de cyberattaques évitées contre les particuliers n'a que peu évolué - 1,9 % d'augmentation lorsque l'on compare le premier trimestre 2020 au premier trimestre 2021 - le nombre d'attaques contre les entreprises a considérablement augmenté. Le nombre d'attaques évitées entre janvier et mars de cette année était de 61,7% supérieur à celui de la même période l'an dernier. Cette période se caractérise également par de nombreuses attaques contre les serveurs Exchange, qui ont causé - et continueront de causer - des problèmes à de nombreuses entreprises.
Les attaques se professionnalisent rapidement.
Hormis Qbot, un nombre considérable de chevaux de Troie d'accès à distance (RAT) sont actifs en ce moment. Plus de 30 % des attaques contrées ont été menées à l'aide d'AveMariaRAT ou de njRAT. Les RAT permettent la prise de contrôle à distance et l'espionnage d'un ordinateur tiers sans que l'utilisateur ne s'en aperçoive. Les assaillants peuvent ainsi visualiser le bureau de la victime, enregistrer ses saisies au clavier, accéder à sa caméra, voler ses identifiants de connexion stockées dans les navigateurs ou encore télécharger et uploader des fichiers, etc.
Les campagnes actives de RAT révèlent que la tendance est à la professionnalisation des cyberattaques. Les criminels recourent de plus en plus à la séparation des tâches. Ils assemblent des composants individuels pour former une suite modulaire d'infections qu'ils commercialisent en tant que malwares-as-a-service. L'analyse détaillée d'une des campagnes actives du groupe Aggah montre que les assaillants tentent de désactiver les mécanismes de protection et de détection sur l'ordinateur infecté après activation par l'utilisateur d'une macro malveillante intégrée à un e-mail de phishing. Le script initial cherche à déterminer quelle solution de protection est installée sur le système et sélectionne ensuite le script suivant pour tromper cette solution de protection. De plus, les assaillants modularisent leur infrastructure et stockent leurs codes malveillants sur des plateformes de partage de texte telles que Pastebin, d'où ils les appellent.