Analyse de la menace par G DATA : Le nombre de cyberattaques a encore doublé au troisième trimestre

janvier 2021 par Tim Berghoff Security Evangelist chez G DATA CyberDefense

Au troisième trimestre 2020, les spécialistes de la cyberdéfense de Bochum ont dû repousser presque deux fois plus de cyberattaques qu’au deuxième trimestre de la même année. Les assaillants utilisent des campagnes à grande échelle pour attaquer indifféremment les ordinateurs privés et les réseaux d’entreprises. Une intense activité a été observée notamment parmi les programmes malveillants tels qu’Emotet, Agent Tesla, Gozi et RanumBot. Le sentiment d’insécurité des gens dû à la crise de covid-19 et le nombre élevé d’employés qui continue de travailler à distance expliquent cette explosion de la cybercriminalité.

La récente analyse de la menace réalisée par G DATA CyberDefense, fait ressortir que le nombre d’attaques a considérablement augmenté au troisième trimestre. Par exemple, le nombre de tentatives d’attaques contrées a presque doublé en trois mois - une augmentation de 99,1 % entre le deuxième et le troisième trimestre.

La crise due au covid-19 a considérablement accéléré la révolution numérique. Malheureusement, dans de nombreux cas, la sécurité informatique ne suit pas ce rythme effréné. À l’heure actuelle, de nombreux employés travaillent à distance depuis plus de six mois. Au début de la pandémie, les entreprises se sont concentrées sur la fonctionnalité. La continuité des activités a donc été la priorité absolue au début, ce qui est compréhensible. Mais aujourd’hui, les décisionnaires doivent mettre davantage l’accent sur la sécurité informatique et des stratégies globales doivent être mises en place pour éviter les cyberattaques. Tim Berghoff, Security Evangelist chez G DATA CyberDefense

La cyber criminalité - une activité saisonnière

Les cybercriminels ont été particulièrement actifs en juillet 2020. Le nombre de tentatives d’attaques a augmenté de 176,1 % par rapport au mois de juin - la plus forte augmentation sur une période de quatre semaines relevée cette année. Après la forte augmentation de juillet, la situation s’est quelque peu calmée en août et septembre. Les analystes du département de la sécurité de Bochum ont récemment enregistré une baisse des cyberattaques. D’août à septembre, le nombre a chuté de 27,5 %.

Cependant, il n’est pas question de relâchement - les chiffres sont toujours élevés, et particulièrement par rapport au début de l’année. La diminution des attaques montre que la cybercriminalité est encore une autre activité saisonnière. Le nombre de tentatives d’attaques augmente traditionnellement au début de la saison des vacances d’été. Par exemple, les criminels envoient des courriels de masse contenant des offres de vacances supposées bon marché ou de fausses offres. Cette année, l’envoi de faux avertissements concernant les voyages et le covid-19 a été une autre escroquerie utilisée par les criminels. Une autre raison de ce ralentissement est que les malfaiteurs procèdent à des ajustements fréquents de leurs logiciels malveillants ou de leur infrastructure informatique avant de lancer leurs prochaines vagues d’attaques. L’objectif est d’améliorer l’efficacité afin d’augmenter leurs profits. Des logiciels malveillants bien connus

Au total, les analystes de G DATA ont identifié 200 familles de logiciels malveillants actifs au cours du troisième trimestre. Gozi, Agent Tesla, Emotet et Ranumbot/Glupteba ont été particulièrement actifs. Il s’agit de souches de logiciels malveillants qui font des ravages et causent beaucoup de dégâts depuis un certain temps.

Gozi, par exemple, existe depuis 2006. Gozi pénètre généralement dans les systèmes des victimes par le biais d’un e-mail phishing. Il dispose de fonctions de capture d’écran et d’enregistrement des touches. De cette manière, le logiciel malveillant obtient les identifiants de connexion stockés dans les navigateurs et les logiciels de courrier électronique.

Après une pause ce printemps, Emotet, le couteau suisse des cybercriminels, a refait surface. Le logiciel malveillant est désormais très complexe. Sa fonction première - la manipulation des transactions bancaires en ligne - appartient désormais au passé. Emotet s’est converti à d’autres domaines de l’activité criminelle. Il peut aussi bien collecter les contacts e-mail que dresser le profil détaillé des communications des victimes d’attaques, en passant par l’ouverture de portes dérobées pour d’autres logiciels malveillants.

Agent Tesla est actif depuis plus de six ans. C’est un enregistreur de frappe et un voleur d’informations sophistiqué qui enregistre les frappes au clavier, lit les données, génère des captures d’écran et intercepte les identifiants. Maintenant, les assaillants combinent ces attaques avec les méthodes modernes d’ingénierie sociale et incluent des références au Covid-19 dans les e-mails de phishing, ce qui fait qu’ils causent encore beaucoup de dégâts.

RanumBot désactive tous les services de sécurité et le pare-feu Windows du système infecté, ouvrant ainsi la porte à d’autres logiciels malveillants tels que le cheval de Troie Glupteba. En outre, le malware modifie les paramètres par défaut du registre Windows, de sorte qu’il est activé automatiquement à chaque redémarrage de Windows.

La situation en matière de sécurité informatique reste préoccupante. Les cybercriminels développent constamment de nouveaux scénarios d’attaque. Ils les utilisent notamment pour tenter de contourner les mesures de protection. Aujourd’hui, il est insuffisant d’uniquement se reposer sur des solutions technologiques pour se protéger. Les attaques par ingénierie sociale peuvent être particulièrement difficiles à prévenir. Les entreprises doivent donc veiller à ce que leurs employés puissent détecter les cyberattaques à un stade précoce. Les formations de sensibilisation à la sécurité informatique et les simulations de phishing sont un bon moyen d’aborder et d’améliorer la sécurité informatique de manière globale.