Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le baromètre Infoblox des menaces DNS indique une augmentation significative du nombre de domaines malveillants

mars 2016 par Infoblox

Infoblox Inc. annonce les résultats de son baromètre Infoblox des menaces DNS. Celui-ci mesure la création d’infrastructures DNS malveillantes et indique un rebond inattendu vers des niveaux quasi record au quatrième trimestre 2015. Les chercheurs d’Infoblox ont également constaté que 92 % des nouveaux domaines malveillants observés au cours de ce trimestre sont hébergés aux Etats-Unis ou en Allemagne.

Après avoir enregistré un fléchissement au trimestre précédent, le baromètre Infoblox des menaces DNS est remonté à 128 au quatrième trimestre 2015, égalant presque le record de 133 établi au deuxième trimestre. Cela représente une augmentation de 49 % par rapport au quatrième trimestre 2014 et de 5 % en comparaison du trimestre précédent. Cela signifie entre autre que le nombre de domaines malveillants progresse à la fois d’un trimestre et d’une année sur l’autre.

Ces résultats marquent une rupture avec les cycles précédents, où des niveaux record de menaces (indiquant l’implantation de nouvelles infrastructures malveillantes) étaient suivis de plusieurs trimestres de relative accalmie tandis que les cybercriminels utilisaient ces infrastructures pour collecter des données et s’attaquer à des victimes. Cela veut aussi dire que le baromètre des menaces pour l’ensemble de 2015 atteint un niveau bien supérieur à sa moyenne historique et que les entreprises de toutes tailles et de tous types font face à des attaques incessantes.

« Nos observations pourraient indiquer que nous entrons dans une nouvelle phase d’activités soutenues d’implantation et de collecte simultanées », commente Rod Rasmussen, vice-président cybersécurité d’Infoblox. « Face à cette escalade de la part des cybercriminels, il est indispensable de débusquer les infrastructures dont ils se servent pour héberger ces domaines. C’est pourquoi, pour la première fois, nous pointons dans notre baromètre les pays qui accueillent le plus grand nombre de domaines malveillants. »

Le baromètre Infoblox des menaces DNS mesure la création d’infrastructures DNS malveillantes, qu’il s’agisse de l’enregistrement de nouveaux domaines ou du piratage de domaines ou d’hôtes légitimes existants. L’indice de référence est 100, correspondant à la moyenne des résultats sur 8 trimestres pour les années 2013 et 2014.

Le système DNS est le carnet d’adresses d’Internet, traduisant les noms de domaines tels que www.google.com en adresses IP numériques compréhensibles par les ordinateurs, par exemple 74.125.20.106. Le DNS étant indispensable pour la quasi-totalité des connexions Internet, les cybercriminels créent constamment de nouveaux domaines et sous-domaines afin de propager une grande diversité de menaces utilisant celui-ci, parmi lesquelles des kits d’exploitation, des campagnes de phishing et des attaques de déni de service distribué (DDoS).

Les Etats-Unis en tête des pays hébergeant des systèmes infectés

Infoblox constate que le pays de prédilection des cybercriminels pour l’hébergement et le lancement d’attaques à partir d’infrastructures DNS malveillantes au quatrième trimestre 2015 a clairement été les Etats-Unis, qui représentent 72 % des nouveaux domaines malveillants observés.

L’Allemagne (20 %) est le seul autre pays à en héberger plus de 2 %. Alors qu’une grande partie de la cybercriminalité est originaire de « points chauds » en Europe de l’Est, Asie du Sud-Est et Afrique, cette analyse révèle que l’infrastructure sous-jacente utilisée pour le lancement des attaques elles-mêmes se situe ailleurs, en plein cœur des premières économies mondiales.

Il est à noter que ces informations géographiques n’indiquent pas où se trouvent « les méchants », car les kits d’exploitation de vulnérabilités et autres malwares peuvent être développés dans un pays, vendus dans un autre et utilisés dans un troisième pour le lancement d’attaques via des systèmes hébergés dans un quatrième. Cependant, cela concerne les pays dont les réglementations et/ou les contrôles tendent à être laxistes.

« Ce serait un moindre mal si les hébergeurs américains réagissaient promptement pour fermer les domaines dangereux aux contenus malveillants aussitôt identifiés mais ce n’est pas le cas », souligne Lars Harvey, vice-président stratégie de sécurité pour Infoblox. « Le fait est que de nombreux hébergeurs peuvent être lents à réagir, permettant aux malwares de se propager pendant une durée beaucoup plus longue qu’ils ne le devraient. C’est là un point essentiel à améliorer. »

Réapparition d’un vieux Exploit Kit

Les kits d’exploitation de vulnérabilités constituent une catégorie particulièrement alarmante de malware car ils incarnent la cybercriminalité automatisée. Un petit nombre de pirates hautement compétents peuvent créer ces kits conçus pour diffuser une charge malveillante, puis les vendre ou les louer à des criminels lambda ne possédant pas une grande expérience technique. Cela est de nature à grossir considérablement les rangs des auteurs d’attaques contre des particuliers, des entreprises, ou des administrations…

Si Angler demeure en tête de l’activité des kits d’exploitation DNS, RIG – un kit ancien qui était très en retrait au cours des trimestres précédents – s’est hissé en deuxième position. L’analyse d’Infoblox de l’activité de RIG en 2015 montre que celui-ci a commencé à utiliser des techniques de masquage de domaine similaire à celles inaugurées par Angler pour contrer les stratégies de blocage sur la base de la réputation. Cela indique qu’avec l’évolution des kits d’exploitation dans les années à venir, il est possible que d’anciennes menaces réapparaissent sous une nouvelle forme ou à un nouvel endroit.

Pour obtenir plus de détails sur la méthodologie et prendre connaissance du rapport complet Infoblox DNS Threat Index pour le quatrième trimestre 2015, rendez-vous sur www.infoblox.com/dns-threat-index.




Voir les articles précédents

    

Voir les articles suivants