Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Baromètre des menaces DNS : les domaines de ransomware ont vu leur nombre multiplié par 35

juin 2016 par Infoblox

Infoblox , le spécialiste du contrôle du réseau, publie le baromètre Infoblox des menaces DNS pour le premier trimestre 2016, faisant ressortir une multiplication par 35 du nombre des nouveaux domaines de ransomware observés par rapport au quatrième trimestre 2015. Cette augmentation spectaculaire a contribué à propulser à un niveau record l’indice global des menaces qui mesure la création d’infrastructures DNS malveillantes (malwares, kits d’exploitation de vulnérabilité, phishing, etc.).

Qu’est-ce qu’une attaque par ransomware ?

Une attaque de ransomware consiste à infecter une machine par un malware pour crypter les données, puis à exiger le paiement d’une rançon en échange de la clé de décryptage. Selon Rod Rasmussen, vice-président cybersécurité d’Infoblox, « la menace du ransomware connaît un formidable bouleversement : il ne s’agit plus de quelques acteurs qui extorquaient un maigre butin à des particuliers mais d’attaques massives, à l’échelle industrielle contre des entreprises de toutes tailles et de tous secteurs, y compris de grands groupes. Notre baromètre des menaces montre que les cybercriminels se ruent pour profiter de cette opportunité. »

Le FBI a révélé récemment que les victimes de ransomware aux Etats-Unis ont déclaré 209 millions de dollars de pertes au premier trimestre 2016, contre 24 millions pour l’ensemble de l’année 2015. Parmi les attaques de grande ampleur survenues au cours de ce trimestre figurent notamment celles lancées en février contre le Hollywood Presbyterian Medical Center de Los Angeles et, en mars, contre MedStar Health à Washington.

Nombre record de nouveaux domaines malveillants

Le baromètre Infoblox des menaces DNS a atteint le niveau record de 137 au 1er trimestre 2016, soit une hausse de 7 % par rapport au chiffre déjà élevé de 128 enregistré au dernier trimestre, battant le précédent record de 133 établi au 2ème trimestre 2015. Le baromètre Infoblox des menaces DNS mesure la création d’infrastructures DNS malveillantes, qu’il s’agisse de l’enregistrement de nouveaux domaines ou du piratage de domaines ou d’hôtes légitimes existants. L’indice de référence est 100, correspondant à la moyenne des résultats sur 8 trimestres pour les années 2013 et 2014.

Cinq nouveaux pays en tête de liste des domaines malveillants

Les Etats-Unis demeurent le principal pays hébergeant des domaines malveillants nouvellement créés ou exploités, représentant 41 % des observations, une proportion en net recul par rapport à leur domination écrasante (72 %) au trimestre précédent. Cinq autres pays présentent un fort regain d’activité :

- Portugal – 17 %
- Russie – 12 %
- Pays-Bas – 10 %
- Royaume-Uni – 8 %
- Islande – 6 %

L’Allemagne, qui avait enregistré au quatrième trimestre près de 20 % des nouveaux domaines malveillants et des infrastructures associées, est quasiment sortie de la liste, chutant à moins de 2 %.

« Les cybercriminels ne se privent pas de la possibilité d’exploiter une infrastructure sophistiquée, et tous les pays figurant dans la liste ce trimestre répondent à cette condition », commente Lars Harvey, vice-président stratégie de sécurité d’Infoblox. « Cependant, la répartition géographique montre que, tels des blattes fuyant la lumière, cela ne dérange pas les cybercriminels de changer de cibles. »

Les kits d’exploitation demeurent la menace numéro un

Les kits d’exploitation – des outils à louer qui facilitent la tâche des cybercriminels en automatisant la création et la diffusion de malwares – demeurent la menace numéro un, représentant un peu plus de la moitié de l’indice général. A l’instar des trimestres antérieurs, Angler reste le kit le plus utilisé mais un nouveau prétendant revient du diable vauvert : les observations de Neutrino ont ainsi progressé de 300 %.

Angler est réputé pour avoir inauguré la technique de masquage de domaine, destinée à contrer les stratégies de blocage sur la base de la réputation, et pour infiltrer des URL malveillantes dans des réseaux publicitaires légitimes, dirigeant les visiteurs vers des sites web qui leur injectent un malware même s’ils ne cliquent pas sur des liens infectés. Les diverses occurrences des récentes campagnes Neutrino observées infectent les systèmes des victimes avec différentes versions de ransomware telles que Locky, Teslacrypt, Cryptolocker2 et Kovter.




Voir les articles précédents

    

Voir les articles suivants