Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

FortiGuard Labs : les ransomwares ne faiblissent pas et opèrent sans relâche avec un impact plus dévastateur

mars 2022 par FortiGuard Labs

Fortinet dévoile les résultats de son nouveau rapport semestriel FortiGuard Labs Global Threat Landscape Report. La veille des menaces pendant le 2e semestre 2021 révèle une automatisation et une accélération des attaques, basées sur des stratégies persistantes, plus sophistiquées et destructrices, mais également plus imprévisibles.

L’expansion de la surface d’attaque, résultant de collaborateurs travaillant en mode hybride et de réseaux plus étendus, constitue une faiblesse que les assaillants tentent d’exploiter. Pour davantage d’analyses sur ce nouveau rapport, consultez ce blog post.

“La cybersécurité est un secteur dynamique qui évolue rapidement. Pour autant, les assaillants développent et lancent leurs attaques à une vitesse sans précédent. Des techniques d’attaque nouvelles et en évolution émergent sur l’ensemble de la chaîne de frappe, mais en particulier lors de la phase d’armement, aboutissant à une cybercriminalité plus sophistiquée et persistante, plus destructrice et imprévisible. Pour se protéger contre ce large éventail de menaces, les entreprises doivent mettre en œuvre des stratégies de prévention, de détection et de riposte alimentées par l’IA et basées sur une architecture mesh de cybersécurité. Cette architecture favorise une intégration plus étroite des solutions de sécurité, une automatisation accrue des opérations, ainsi qu’une réponse plus rapide, coordonnée et efficace aux menaces sur le réseau étendu.” déclare Derek Manky, Chief, Security Insights & Global Threat Alliances, FortiGuard Labs

Ci-dessous les principaux enseignements de ce nouveau rapport :

• Log4j illustre la vulnérabilité des entreprises face à la rapidité des exploits : les vulnérabilités Log4j, apparues fin 2021, témoignent de la forte réactivité des cybercriminels pour en tirer parti et les exploiter. Apparue au cours de la deuxième semaine de décembre, l’activité criminelle autour de cette vulnérabilité s’est intensifiée assez rapidement, en moins d’un mois, pour en faire la détection IPS la plus fréquente sur le second semestre de 2021. Pour preuve, le volume d’activité de Log4j était près de 50 fois supérieur à celui de la vulnérabilité bien connue ProxyLogon qui est apparue plus tôt en 2021. Face à la vitesse à laquelle les assaillants exploitent les nouvelles opportunités, les entreprises ont très peu de temps pour réagir et appliquer les patchs. Elles ont besoin de systèmes de prévention des intrusions (IPS) optimisés par Intelligence Artificielle et Machine Learning, d’une stratégie pertinente de patching et d’une visibilité intégrale sur les menaces pour lutter en priorité sur les menaces se propageant rapidement, et ainsi réduire le risque global.

• Les assaillants ciblent plus rapidement les nouveaux vecteurs d’attaques : certaines menaces, bien que mineures, ont néanmoins le potentiel de causer des dégâts majeurs à terme et méritent donc d’être surveillées. C’est le cas des logiciels malveillants récemment conçus pour compromettre les systèmes sous Linux, souvent distribués sous la forme de fichiers binaires ELF (executable and linkable format). Linux, présent dans le back-end de nombreux réseaux et au cœur de solutions conteneurisées pour l’IoT et de certaines applications critiques, devient donc une cible privilégiée pour les assaillants. De fait, le taux de nouvelles signatures associées à des malware ciblant Linux est ressorti 4 fois plus important entre le 4e trimestre et le 1er trimestre 2021. La variante ELF Muhstik, les attaques RedXOR et même Log4j sont des exemples de menaces ciblant Linux. La prévalence des ELF et des malware Linux détectés a doublé en 2021. Cette croissance, en nombre de variants et de volume, suggère que les attaques sur Linux font de plus en plus partie de l’arsenal des assaillants. Les dispositifs équipés de Linux doivent donc être sécurisés, surveillés et gérés comme tout autre endpoint du réseau, avec une protection, une détection et une réponse adaptées et automatisées. D’autre part, les bonnes pratiques de sécurité doivent également être mises en œuvre pour protéger les systèmes visés par des attaques plus furtives.

• Les tendances en matière de botnet témoignent d’une sophistication des attaques : les tendances en matière de menaces montrent que les botnets évoluent pour adopter des techniques d’attaques très récentes et plus sophistiquées. Les botnets ne se contentent plus de mener des attaques DDoS et sont devenus des leviers d’attaque polyvalents, adoptant différents modes opératoires, y compris les ransomwares. Par exemple, les assaillants, y compris les opérateurs de botnets comme Mirai, ont intégré la vulnérabilité Log4j dans leurs kits d’attaque. De même, la présence de botnets a été observée en relation avec une nouvelle variante de la backdoor RedXOR, pour cibler les systèmes Linux et exfiltrer des données. La fréquence de détection des botnets délivrant une variante du malware RedLine Stealer a également bondi début octobre, en s’en prenant à de nouvelles cibles à l’aide d’un fichier malveillant ayant pour thématique le COVID. Pour protéger les réseaux et les applications, les entreprises doivent mettre en œuvre des solutions d’accès Zero-Trust (ZTA) et opter pour le principe du privilège d’accès moindre, en particulier pour sécuriser les objets IoT et les dispositifs entrant dans le réseau. D’autre part, des outils automatisés de détection et de réponse sont nécessaires pour surveiller les comportements suspects.

•Les tendances en matière de malware indiquent que les cybercriminels exploitent au mieux le "tout à distance" : l’étude des variants de malware révèle que les assaillants ciblent le travail et l’apprentissage à distance, en particulier à l’aide de malware infectant les navigateurs. Ceci prend souvent la forme de leurres de phishing ou de scripts qui injectent du code ou redirigent les utilisateurs vers des sites malveillants. Les analyses détaillées, si elles varient selon les régions du monde, pointent néanmoins trois grands mécanismes de propagation : les exécutables Microsoft Office (MSExcel, MSOffice), les fichiers PDF et les scripts de navigateurs (HTML, JS). Ces techniques restent prisées des cybercriminels qui profitent de l’intérêt des collaborateurs pour l’actualité autour de la pandémie, la politique, le sport, etc. Elles permettent d’identifier par la suite des passerelles vers les réseaux d’entreprise. Le travail et la formation à distance restant d’actualité, les logiciels malveillants s’en prennent plus facilement à leurs victimes potentielles, compte tenu d’un niveau de sécurité plus faible. Les entreprises doivent disposer d’une sécurité omniprésente et qui tire parti de solutions capables de suivre, d’activer et de protéger les utilisateurs, où qu’ils se trouvent. Elles ont besoin d’une sécurité renforcée de leurs endpoints (EDR), combinée à des solutions d’accès zero-trust, y compris ZTNA. Le SD-WAN sécurisé est également essentiel pour garantir une connectivité WAN sûre au niveau du réseau étendu.

• L’activité des ransomware reste élevée et devient dévastatrice : les analyses de FortiGuard Labs révèlent que les ransomwares n’ont pas faibli après leur niveau record de l’année dernière, et que leur sophistication, leur agressivité et leur impact sont en progression. Les cybercriminels continuent à attaquer les entreprises à l’aide de différents ransomwares, nouveaux ou anciens, avec souvent des dégâts considérables à la clé. Les ransomwares historiques, constamment mis à jour et améliorés, s’enrichissent parfois de fonctions d’effacement des données, tandis que d’autres évoluent vers le modèle économique du "Ransomware-as-as-Service" (RaaS). Le RaaS permet à un plus grand nombre d’assaillants d’exploiter et de propager ces ransomwares sans même avoir à les développer. FortiGuard Labs a observé un niveau constant d’activités malveillantes impliquant plusieurs types de ransomwares, avec notamment de nouvelles versions de Phobos, Yanluowang et BlackMatter. Les opérateurs de BlackMatter avaient déclaré ne pas s’en prendre aux acteurs de la santé et aux infrastructures critiques, mais ils l’ont quand même fait. Les attaques par ransomwares restent donc d’actualité pour toutes les entreprises, quels que soient leur secteur ou leur taille. Les entreprises doivent adopter une approche proactive, basée sur une visibilité, une analyse, une protection et une réponse en temps réel, ainsi que des solutions d’accès zéro trust, une segmentation du réseau et une sauvegarde régulière des données.

• La compréhension des techniques d’attaque permet de contrer les assaillants plus rapidement : analyser les stratégies d’attaque permet d’ajuster les mécanismes de défense face à l’évolution rapide des techniques utilisées. Pour comprendre les conséquences des diverses attaques, FortiGuard Labs a analysé le panel fonctionnel d’un grand nombre de logiciels malveillants détectés tout au long de l’année. Le fruit de cette analyse nous fournit une liste de tactiques, techniques et procédures (TTP) mise en œuvre par un malware lors d’une attaque. Ces renseignements de valeur montrent qu’il est plus important que jamais de neutraliser un assaillant en amont. En se concentrant sur quelques-unes des techniques parfaitement identifiées, une entreprise peut, dans certains cas, déjouer efficacement les d’attaques. Par exemple, les trois principales techniques "d’exécution" totalisent 82% de celles-ci. Pour la phase de "persistance", deux techniques totalisent à elles seules près de 95 % de nos observations. L’exploitation de ces connaissances peut avoir un effet spectaculaire sur la façon dont les entreprises hiérarchisent leurs stratégies de sécurité pour optimiser leur défense.




Voir les articles précédents

    

Voir les articles suivants