Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Intel Security revient sur l’évolution des ransomwares en 2016 et les lacunes des centres d’opération de sécurité

décembre 2016 par Intel Security

Intel Security publie son nouveau rapport trimestriel sur les cyber menaces. Intitulé ‘McAfee Labs Threats Report : December 2016’, il porte sur les menaces du troisième trimestre dont les ransomwares et les nouveaux types de malwares, l’état des centres d’opérations de la sécurité (SOC) des entreprises, ainsi que sur les nouvelles méthodes employées par les cybercriminels.

2016 : L’année des ransomwares

Le McAfee Labs a enregistré une hausse de 80 % des ransomwares sur la période de janvier à octobre 2016, soit le total de 3 860 603 nouveaux échantillons identifiés. Au-delà de l’impressionnante croissance du volume, cette année, le ransomware a connu des avancées techniques remarquables. Outre le cryptage partiel ou total des disques et des sites Web utilisés par des applications légitimes, les cybercriminels ont doté leurs attaques de techniques d’anti-sandboxing. Ils utilisent également des kits d’exploits plus sophistiqués pour les propager ainsi que des prestations Ransomware-as-a-Service.

« Le McAfee Labs avait prédit une croissance exponentielle des attaques par ransomware entre 2015 et 2016 », précise Fabien Rech, Directeur Général France d’Intel Security. « Cette année a été marquée par des attaques plus sophistiquées qui ont révélé leur potentiel impact à la fois auprès des médias et des entreprises. Face à la multiplicité et à la complexité de ces attaques, les acteurs de la cyber-sécurité et les institutions gouvernementales se sont mobilisés dans la lutte contre les cybercriminels. C’est pourquoi, nous prévoyons un ralentissement de la croissance des attaques de ransomware au second semestre 2017. »

L’état des SOCs

Le McAfee Labs a analysé l’état et les usages des SOCs par les entreprises. D’après les responsables SOC sollicités, la priorité numéro 1 pour leur développement est d’améliorer la capacité des équipes à répondre aux attaques identifiées et à empêcher toute récidive.

Parmi les principaux constats figurent :
• Une surcharge d’alertes. En moyenne, les entreprises, indépendamment de leur taille et de leur situation géographique, ne sont pas en mesure d’examiner suffisamment un quart des alertes de sécurité qu’elles reçoivent.
• Un problème de tri. Face à une surcharge d’alertes de sécurité, 93 % des entreprises s’avouent incapables de trier l’ensemble des menaces potentielles.
• Une hausse des incidents de sécurité est constatée par 67 % des répondants. Parmi eux, 57 % estiment que cette hausse est due à la croissance du nombre d’attaques. Parallèlement, 73 % pensent qu’une meilleure capacité de détection des attaques leur a apporté une visibilité plus complète du volume réel d’incidents.
• Une approche proactive VS réactive. La majorité des répondants affirme avoir progressé dans l’adoption d’une approche proactive de la cyber-sécurité. Néanmoins, 26 % des entreprises agissent encore en mode réactif, en s’appuyant sur une approche ad-hoc pour la gestion des opérations de sécurité, la détection de menaces et la réponse aux incidents.
• La dimension d’un facteur de risque inconnu. Plus des deux tiers (68 %) des investigations effectuées par les entreprises impliquaient une entité tierce, soit en tant qu’attaque extérieure ciblée, soit en tant que menace interne à l’entreprise.

L’émergence des chevaux de Troie dans des logiciels légitimes
Le rapport explique également comment les cybercriminels arrivent à injecter des chevaux de Troie au sein du code largement accepté afin de masquer leur intention malveillante et d’éviter leur détection. Le McAfee Labs a notamment identifié la palette d’outils sur laquelle s’appuient les cybercriminels, tels que :

• Le patching des fichiers exécutables au moment de leur téléchargement via des attaques man-in-the-middle (MITM),
• Le regroupement des fichiers « propres » et « infectés » à l’aide des programmes de type « binder » ou « joiner »,
• La modification des fichiers exécutables via des correcteurs (patchers), tout en maintenant le fonctionnement sans heurts des applications,
• La modification par le code interprété, open-source ou décompilé.

Les menaces du 3ème trimestre 2016

Au troisième trimestre 2016, le réseau Global Threat Intelligence du McAfee Labs a enregistré des hausses notables en termes de volume de ransomwares (+80 % depuis le début 2016), de malwares mobiles (+ 2M de nouvelles menaces) et de malwares du type macro, ainsi qu’en termes d’environnements ciblés (+ 637 % d’attaques sur MacOS) et de comportement des botnets (Necurs et Wapomi ont confirmé leur position de N°1 en termes de surface d’attaques).


Voir les articles précédents

    

Voir les articles suivants