Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le rapport de sécurité de Fortinet souligne une évolution de l’activité des malwares ciblant les crypto-monnaies

mai 2018 par Fortinet

Fortinet® annonce les résultats de son tout dernier rapport trimestriel de sécurité Global Threat Landscape Report. L’étude révèle que les cybercriminels font évoluer leurs méthodes d’attaque pour augmenter leurs chances de succès et accélérer les infections. Si les ransomwares continuent à peser lourdement sur les entreprises, il semble que certains cybercriminels préfèrent désormais détourner des systèmes pour les utiliser à des fins de minage de crypto-monnaies (cryptomining) plutôt que de rançonnage. Pour les résultats détaillés de cette étude et une synthèse décisionnelle à l’intention des DSI et RSSI, rendez-vous sur le blog.

Voici les principaux enseignements de ce nouveau rapport :

Les méthodes d’attaque des cybercriminels sont plus performantes et évolutives

Les données soulignent que les cybercriminels améliorent leur utilisation de malwares et tirent parti des vulnérabilités zero-day les plus récentes pour rendre leurs attaques plus rapides et évolutives. Si le nombre d’exploits détectés par entreprise est en repli de 13% au premier trimestre 2018, le nombre d’exploit unique détecté a, en revanche, progressé de 11%. 73% des entreprises ont subi un exploit de criticité sévère.

• Le cryptojacking a le vent en poupe : les malwares évoluent et deviennent plus complexes à prévenir ou détecter. La prévalence des malwares de minage de crypto-monnaies a plus que doublé, passant de 13% à 28%. De plus, ce cryptojacking (détournement de ressources de systèmes à des fins de minage) est devenu une tendance de fond au Moyen-Orient, en Amérique Latine et en Afrique. Les malwares de crypto-minage font preuve d’une très grande diversité alors que cette menace est, somme toute, relativement jeune. Les cybercriminels conçoivent des malwares sans fichiers capables d’injecter furtivement du code malveillant au sein des navigateurs. Les outils de minage ciblent de multiples systèmes d’exploitation et utilisent différentes crypto-devises, Bitcoin et Monero notamment. Ils reprennent à leur compte des techniques sophistiquées de propagation et de distribution utilisées par d’autres menaces et tirent les leçons de leurs réussites et échecs pour optimiser leur futur taux de succès.

• Des attaques ciblées pour un impact maximal : l’impact des malwares virulents est particulièrement élevé, d’autant que ces derniers sont associés à des attaques bien conçues. Pour mieux cibler leurs attaques, les cybercriminels initient leurs exactions par des opérations de reconnaissance d’une entreprise en amont de l’attaque, ce qui optimise le taux de succès. Dans un second temps, une fois présents sur le réseau, les assaillants l’explorent pour décider de quand, comment et où exécuter l’attaque planifiée. Le malware Olympic Destroyer et, plus récemment, le ransomware SamSam illustrent comment les cybercriminels conçoivent leurs attaques dans une optique d’impact majeur et de rentabilité maximale.

• Le ransomware toujours d’actualité : les ransomwares, plus nombreux et sophistiqués, restent un défi majeur de sécurité pour les entreprises. Ces ransomwares continuent à évoluer, en misant sur l’ingénierie sociale et de nouvelles techniques (attaques menées en plusieurs étapes notamment), dans l’optique de contourner les outils de détection en place et d’infecter les systèmes. Le ransomware GandCrab apparu en janvier fait figure de pionnier puisqu’il utilise Dash en tant que crypto-monnaie pour le paiement des rançons. BlackRuby et SamSam sont également deux variantes de ransomwares particulièrement actives sur le premier trimestre 2018.

• De multiples vecteurs d’attaque : si les attaques telles que Meltdown et Spectre ont été largement relatées dans les médias durant ce trimestre, les attaques les plus virulentes ont ciblé les équipements mobiles ou des vulnérabilités connues de routeurs ou de technologies Web/Internet. 21% des entreprises ont indiqué avoir été victimes de malwares mobiles (+7%), illustrant le fait que les objets connectés continuent à être sous le feu des menaces. Les cybercriminels privilégient l’exploitation de vulnérabilités connues et non patchées, ainsi que la découverte récente de vulnérabilités zero-day qui constituent autant de nouvelles opportunités. Microsoft reste la principale cible des exploits, tandis que les routeurs se hissent à la seconde place en termes de volume d’attaques. Les systèmes de gestion de contenus (CMS) et les technologies orientées Web ont également été particulièrement ciblées.

• Aller au-delà du patching : le patching ne permet pas, à lui seul, de raccourcir la durée de vie et d’activité des botnets. Il s’agit également d’assurer les opérations de nettoyage et de restauration. Les données montrent que 58,5% des infections par botnets sont détectées et neutralisées le même jour. 17,6% et 7,3% des botnets restent actifs deux jours et trois jours de suite respectivement. À noter que 5% de ces botnets restent actifs plus d‘une semaine. À titre d’exemple, Andromeda a été démantelé au quatrième trimestre 2017, mais les données sur le premier trimestre 2018 indiquent une présence importante de ce botnet, tant en incidence qu’en prévalence.

• Attaques contre les technologies OT : Si les attaques ciblant les environnements OT restent mineures, cette tendance n’en est pas moins préoccupante. En effet, les attaques sur ces environnements industriels, de plus en plus interconnectés et connectés à Internet, peuvent entraîner des conséquences potentiellement désastreuses en matière de sécurité. Actuellement, la majorité des exploits cible deux des protocoles de communication industrielle les plus communs. Les données montrent que c’est en Asie que les tentatives ciblant les systèmes de contrôle industriels sont plus nombreuses par rapport aux autres régions.

Une sécurité intégrée pour lutter contre les exactions

Les données sur les menaces sur ce trimestre sont conformes aux prédictions des chercheurs des FortiGuard Labs pour 2018, témoignant ainsi que la meilleure des défenses contre les menaces intelligentes et automatisées est une Security Fabric intégrée, élargie et automatisée. Une sécurité contextuelle et proactive s’impose pour contrer la nouvelle génération des attaques automatisées qui capitalisent sur l’intelligence artificielle.


Méthodologie de l’étude
Le Fortinet Global Threat Landscape, rapport trimestriel issu des travaux collectifs de veille des FortiGuard Labs, capitalise sur un large panel de capteurs déployés par Fortinet au cours du premier trimestre 2018. L’étude propose des données mondiales, par région et par secteur d’activité, et se penche sur trois volets essentiels et complémentaires de l’univers des menaces, à savoir les exploits applicatifs, les logiciels malveillants et les botnets. Sont également étudiées les vulnérabilités zero-day majeures. En complément de ces études trimestrielles, Fortinet offre également ses publications Threat Intelligence Brief, gratuitement et sur abonnement, qui passent en revue les malwares, virus et menaces web découverts chaque semaine, et propose des liens vers les études et travaux les plus pertinents des chercheurs de Fortinet.




Voir les articles précédents

    

Voir les articles suivants