Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Global Threat Intelligence Trends Report 2017 : une fin d’année marquée par les ransomware et le minage de crypto-monnaies

février 2018 par Check Point

Check Point publie son Global Threat Intelligence Trends Report pour le second semestre 2017, dans lequel les équipes de recherche dévoilent que les cybercriminels se tournent de plus en plus vers les mineurs de crypto-monnaies pour développer des sources de revenus illégales, alors que les ransomwares et autres malwares et adwares par mail continuent d’impacter les entreprises aux quatre coins du monde.

2017 a été une année incroyable dans le monde de la cybersécurité, avec des attaques d’ampleur encore inégalée et des innovations toujours plus impressionnantes. Les personnes malveillantes veulent garder un temps d’avance afin de ne pas se faire attraper, et jusqu’ici c’est un succès. Beaucoup d’entreprises ont en effet encore du chemin à faire pour éviter de se faire attaquer.

“Durant la seconde moitié de 2017, les mineurs de crypto-monnaies ont envahi le monde en devenant le vecteur d’attaque et de monétisation favori. Bien que ce type de malware ne soit pas entièrement nouveau, la popularité et valeur croissantes de la crypto-monnaie ont donné suite à une augmentation significative de la diffusion de malware de mineurs. Certaines tendances datant de 2016 continuent de subsister, telles que les ransomwares considérés comme un vecteur d’attaque important, autant pour les attaques étendues et globales que pour les attaques plus ciblées envers des entreprises particulières. 25% des attaques observées durant cette période exploitent des vulnérabilités découvertes il y a plus de dix ans, et moins de 20% utilisent des vulnérabilités plus récentes. Il est donc clair que de nombreuses entreprises ont encore du chemin avant de se protéger entièrement contre les attaques” Maya Horowitz, Threat Intelligence Groupe Manager, Check Point

Les enseignements clés

Malwares les plus répandus au second semestre 2017

1. Roughted (15,3%) - Logiciel de publicités malveillantes à l’origine de plusieurs arnaques, kits d’exploitation de vulnérabilités et autres malwares. Il est en mesure d’attaquer n’importe quel type de plate-forme et de système d’exploitation, et utilise des techniques de prise d’empreintes et de contournement de bloqueurs de publicités pour délivrer l’attaque la plus pertinente.

2. Coinhive (8,3%) - Un mineur de crypto-monnaies conçu pour réaliser du minage en ligne de la crypto-monnaie Monero sans l’autorisation de l’utilisateur quand ce dernier se rend sur une page Web. Coinhive n’est apparu qu’en Septembre 2017 mais a déjà infecté 12% des entreprises ciblées aux quatre coins du monde.

3. Locky (7,9%) - Ransomware se répandant principalement via les mails de spam contenant un module de téléchargement, déguisé en pièce jointe zip ou word, avant d’installer un malware chiffrant les fichiers de la victime.

Ransomwares les plus répandus au second semestre 2017

1. Locky (30%) - Ransomware se répandant principalement via les mails de spam contenant un module de téléchargement, déguisé en pièce jointe zip ou word, avant d’installer un malware chiffrant les fichiers de la victime.

2. Globeimposter (26%) - Diffusé par le biais de campagnes de mail, publicités malveillantes et autres kits d’exploitation, le ransomware ajoute l’extension .crypt à chaque fichier chiffré.

3. WannaCry (15%) - Ransomware ayant été diffusé dans le cadre d’une attaque d’ampleur en mai 2017, utilisant une vulnérabilité Windows SMB appelée EternalBlue, afin de se propager au sein de et entre les réseaux.

Malwares mobiles les plus répandus au second semestre 2017

1. Hidad (55%) - Malware sur Android qui reprend le format d’applications légitimes avant de les diffuser via un store tiers. Il peut accéder à des détails de sécurité cruciaux au sein du système d’exploitation, permettant ainsi à une personne malveillante d’obtenir les données sensibles de l’utilisateur.

2. Triada (8%) - Une backdoor modulaire sur Android accordant des privilèges utilisateurs au malware téléchargé, en l’injectant au sein du système. Triada est également capable de copier les URL au sein du navigateur.

3. Lotoor (8%) - Un outil de piratage exploitant les vulnérabilités dans le système d’exploitation Android afin d’obtenir des privilèges administratifs.

Malwares bancaires les plus répandus au second semestre 2017

1. Ramnit (34%) - Cheval de Troie bancaire volant les identifiants bancaires, mots de passe FTP, cookies et autres données personnelles.

2. Zeus (22%) - Cheval de Troie ciblant les plateformes Windows et les utilisant pour subtiliser les informations bancaires via un enregistreur de frappe MITM ou encore la récupération de formulaire.

3. Tinba (16%) - Cheval de Troie bancaire volant les identifiants de la cible en utilisant des injecteurs web qui s’activent dès que l’utilisateur veut se connecter à sa banque en ligne.

Croissance rapide des mineurs de crypto-monnaies

Alors que les mineurs de crypto-monnaies sont des outils communément utilisés par les individus pour miner leur propre monnaie, un intérêt public croissance pour les monnaies virtuelles a ralenti le processus de minage, dépendant directement de nombre de personnes disposant de ces monnaies. Ce ralentissement a eu pour conséquence d’augmenter la capacité nécessaire (au niveau du processeur) pour miner de la crypto-monnaie. Les cyber-criminels ont donc dû trouver une nouvelle façon de rassembler les ressources processeur nécessaires. De ce fait, aujourd’hui, les mineurs de crypto-monnaies en ligne sont directement injectés au sein de plusieurs sites web de référence, parfois à leur insu et sans notifier l’utilisateur ni limiter la capacité CPU consommée.

Malwares mineurs de crypto-monnaies les plus répandus au niveau mondial - H2 2017

Augmentation des arnaques par mail et autres spams

2017 a été une année particulièrement intéressante dans le domaine des emails malveillants sous toutes leurs formes. Le ratio entre les infections HTTP et STMP a penché en faveur du STMP. La popularité croissante de ces méthodes ont attiré des personnes malveillantes expérimentées apportant avec eux des pratiques avancées incluant l’exploitation de plusieurs vulnérabilités dans les documents, particulièrement au sein de Microsoft Office. Nous faisons face ici à de nouvelles vulnérabilités, telles que CVE-2017-0199, ou encore la fameuse exploitaton DDE. En 2017, en parallèle de Microsoft Office et Adobe, nous avons observé l’utilisation de nouveaux types de fichiers tels que .xlam et .xlb.

Types de fichiers malveillants les plus répandus au niveau mondial - H2 2017

Le mouvement latéral en tête de file

Le principe de mouvement latéral fait référence à la capacité du hacker à s’étendre à toute l’infrastructure d’une entreprise en utilisant une seule entrée dans le réseau. Alors qu’une évolution des méthodes d’infection a pu être observée, nous avons également noté une augmentation dans l’usage des techniques de mouvement latéral, avec elles-mêmes de nouvelles méthodes d’infection propres. WannaCry, NotPetya et BadRabbit sont quelques exemples de malwares ayant utilisé le mouvement latéral en 2017. Ces trois familles de malwares ont été utilisées dans des campagnes de grande ampleur ciblant les entreprises, les organismes civils ou encore les organismes rattachés au gouvernement. Dans le domaine de l’IoT, on retrouve notamment le botnet IoTroop, ainsi qu’un botnet ciblant les routeurs Huawei pour y injecter Satori, tous deux découverts par les chercheurs de Check Point.

Familles de malwares les plus populaires au niveau mondial - H2 2017

Les ransomwares en croissance constante

L’une des tendances toujours d’actualité est celle des ransomwares. En effet, c’est toujours un vecteur d’attaque prioritaire, utilisé pour des attaques mondiales telles que WannaCry, et autres attaques ciblant des entreprises en particulier. Un autre vecteur connu depuis longtemps mais toujours aussi efficace et celui des campagnes de malwares via email. En effet, la distribution massive de spams et autres arnaques continuent de faire de nombreuses victimes aux quatre coins du monde. Enfin, les malwares sur mobile continuent de faire des ravages en entreprise.

Ransomwares les plus répandus au niveau mondial - H2 2017

L’indice Check Point des menaces et la carte ThreatCloud sont alimentés par des renseignements issus de Check Point ThreatCloud, le plus grand réseau collaboratif de lutte contre la cybercriminalité, qui fournit des données et des tendances sur les menaces et les attaques grâce à un réseau mondial de capteurs. La base de données ThreatCloud comprend plus de 250 millions d’adresses analysées pour découvrir des bots, plus de 11 millions de signatures de logiciels malveillants et plus de 5,5 millions de sites web infectés. Elle identifie des millions de types de logiciels malveillants quotidiennement.




Voir les articles précédents

    

Voir les articles suivants