Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Akamai Technologies, Inc. : rapport État des lieux d’Internet / Sécurité au deuxième trimestre 2017

août 2017 par Akamai Technologies et Vobile Akamai Technologies

Des données récemment publiées par Akamai Technologies, Inc. dans son rapport État des lieux d’Internet / Sécurité au deuxième trimestre 2017 montrent que les attaques de déni de service distribuées (DDoS) et les attaques affectant les applications Web sont de nouveau en hausse. Cette augmentation est notamment attribuable au logiciel malveillant DDoS PBot dont la réapparition a constitué le fondement des attaques DDoS les plus importantes enregistrées par Akamai ce trimestre.

Dans le cas de PBot, les cybercriminels ont tiré profit d’un code PHP vieux de plusieurs décennies pour générer la plus importante attaque DDoS observée par Akamai lors de ce 2e trimestre. Les pirates ont réussi à créer un mini-botnet DDoS capable de lancer une attaque DDoS de 75 Gbit/s. Curieusement, le botnet PBot ne comprenait que 400 nœuds, mais ce chiffre relativement faible fut suffisant pour générer une quantité importante d’attaques de trafic.

Pour continuer sur la tendance à remettre l’ancien au goût du jour, on retrouve l’analyse effectuée par l’équipe Enterprise Threat Research d’Akamai sur l’utilisation d’algorithmes de génération de domaine (DGA) dans l’infrastructure de commande et contrôle (CnC) de logiciels malveillants. Bien qu’apparus pour la première fois avec le ver Conficker en 2008, les algorithmes de génération de domaine restent une technique de communication fréquemment utilisée par les logiciels malveillants actuels. Notre équipe a révélé que les réseaux infectés généraient un taux de consultation DNS environ 15 fois supérieur à celui d’un réseau intact. Ceci s’explique par le fait que le logiciel malveillant sur les réseaux infectés a accès à des domaines générés de façon aléatoire. La tentative d’accès à tous ces domaines, dont la plupart n’étaient pas enregistrés, a donc engendré d’importantes difficultés. L’analyse des différences entre les caractéristiques comportementales de réseaux infectés par rapport à celles des réseaux intacts est une méthode importante pour identifier les activités malveillantes.

Lorsque le botnet Mirai a été découvert en septembre dernier, Akamai était l’une de ses premières cibles. Par la suite, la plateforme de l’entreprise a continué à recevoir des attaques provenant du botnet Mirai et à s’en défendre avec succès. Les chercheurs d’Akamai ont mis à profit la visibilité unique dont bénéficie l’entreprise sur Mirai pour étudier les différents aspects du botnet, et en particulier son infrastructure CnC lors du 2e trimestre. Les recherches d’Akamai montrent clairement que Mirai, comme de nombreux autres botnets, contribue désormais à la démocratisation des DDoS. En effet, nous avons constaté que de nombreux nœuds CnC du botnet menaient des « attaques dédiées » contre des adresses IP sélectionnées, mais qu’un nombre encore plus important de nœuds participaient quant à eux à ce que l’on pourrait considérer comme des attaques de type « pay-for-play ». Dans ces situations, les nœuds CnC de Mirai attaquaient des adresses IP pendant un court instant avant de se désactiver pour mieux réapparaître ensuite afin d’attaquer des cibles différentes.

« Les pirates cherchent continuellement à déceler des faiblesses dans les défenses des entreprises, et plus une vulnérabilité est fréquente et efficace, plus importantes seront les ressources et l’énergie que les pirates y consacreront », a déclaré Martin McKeay,Senior Security Advocate d’Akamai. « Des événements tels que le botnet Mirai, l’exploitation utilisée par WannaCry et Petya, l’augmentation croissante des attaques SQLi et la réapparition de PBot montrent tous que les pirates ne se contentent pas d’adopter de nouvelles méthodes, ils réutilisent également d’anciennes méthodes qui se sont révélées très efficaces par le passé. »

Chiffres clés :

Autres principales constatations du rapport :
• Le nombre d’attaques DDoS lors du 2e trimestre a augmenté de 28 % d’un trimestre à l’autre suite à trois trimestres de recul.
• Les pirates utilisant les attaques DDoS font preuve d’une persévérance toujours plus acharnée, attaquant des cibles 32 fois en moyenne au cours du trimestre. Une entreprise de jeux vidéo a été attaquée 558 fois, ou approximativement six fois par jour en moyenne.
• Avec 32 % du total mondial, l’Égypte est le pays accueillant le plus grand nombre d’adresses IP uniques utilisées dans des attaques DDoS fréquentes. Le trimestre dernier, c’est aux États-Unis que revenait la première place et l’Égypte ne faisait même pas partie des cinq premiers.
• Moins d’appareils ont été utilisés pour lancer des attaques DDoS ce trimestre. Le nombre d’adresses IP impliquées dans des attaques DDoS de masse a diminué de 98 %, passant ainsi de 595 000 à 11 000.
• L’incidence des attaques d’applications Web a augmenté de 5 % d’un trimestre à l’autre et de 28 % d’une année à l’autre.
• Les attaques SQLi ont été utilisées dans plus de la moitié (51 %) des attaques d’applications Web ce trimestre, contre 44 % le trimestre dernier, générant ainsi presque 185 millions d’alertes au 2e trimestre seulement.


Voir les articles précédents

    

Voir les articles suivants