Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le nouveau rapport de McAfee analyse la cybercriminalité clandestine

décembre 2018 par McAfee Labs

McAfee, société de cybersécurité spécialisée dans la protection du ‘Device-to-Cloud’, publie ‘McAfee Labs Threats Report : December 2018’. Ce dernier rapportanalyse l’activité cybercriminelle clandestine et l’évolution des cybermenaces du troisième trimestre 2018.

Sur cette période, McAfee Labs a détecté une moyenne de 480 nouvelles menaces par minute ainsi qu’une forte augmentation de malwares ciblant les dispositifs IoT. La répercussion des démantèlements des marchés noir Hansa et AlphaBay, en 2017, s’est poursuivie puisque les organisations de cybercriminels prennent de nouvelles mesures pour échapper aux forces de l’ordre.

« Les cybercriminels sont impatients d’arsenaliser les vulnérabilités, nouvelles et anciennes, d’autant que le nombre d’outils désormais disponibles sur les marchés clandestins a considérablement augmenté leur efficacité »,déclare Christiaan Beek, Lead scientist - McAfee. « Tant que les rançons seront payées et que les attaques relativement faciles, comme les campagnes de phishing, seront couronnées de succès, ces acteurs malveillants continueront à utiliser de telles méthodes. Suivre les tendances émergentes sur les marchés et les forums clandestins permet à l’écosystème de la cybersécurité de se défendre contre les attaques actuelles et de surtout garder une longueur d’avance sur celles à venir. »

Chaque trimestre, McAfee analyse l’état du paysage des cybermenaces, via des recherches approfondies, des analyses d’enquêtes et des données inhérentes aux menaces recueillies par sa technologie Cloud, McAfee Global Threat Intelligence depuis plus d’un milliard de capteurs répartis sur plusieurs vecteurs de menaces dans le monde.

La criminalité ‘souterraine’ et les forums de discussion clandestins révèlent de grandes tendances

Au cours du troisième trimestre, les marchés noirs Dream, Wall Street et Olympus ont revendiqué des parts de marché, jusqu’à la disparition mystérieuse d’Olympus. Dans un souci d’échapper aux forces de l’ordre et d’établir une relation de confiance directe avec leurs clients, quelques cybercriminels entreprenants se sont détournés des grandes places de marché pour développer leur propre activité et créer leur espace de vente. Ce changement a inspiré un nouveau credo pour les concepteurs de sites Web offrant de créer des places de marché cachées pour ces entrepreneurs douteux. « Les cybercriminels ont un caractère très opportuniste » précise John Fokker, responsable des cyber investigations - McAfee. « Les cybermenaces auxquelles nous sommes confrontés aujourd’hui ont commencé par de simples conversations sur des forums clandestins. Elles se sont ensuite transformées en produits et services disponibles sur les marchés parallèles. Les puissants types de menaces que nous voyons émerger offrent beaucoup aux cybercriminels : des taux d’infection plus élevés, ainsi qu’une sécurité opérationnelle et financière. »

Les forums de hackers constituent un espace hors d’atteinte où les cybercriminels peuvent discuter de sujets liés à la cybercriminalité entre eux. Au cours du troisième trimestre de l’année, les chercheurs de McAfee ont été témoins de conversations sur les sujets suivants :

• Les violations réussies alimenent les marchés clandestins en données et copycat attack
o Identifiants utilisateurs. En raison de la réussite de nombreux vols de données, les authentifiants des utilisateurs demeurent attractifs. Les comptes emails piratés intéressent particulièrement les cybercriminels, car ils sont utilisés pour restaurer les identifiants d’autres services en ligne.
o Les malwares ciblant les sites d’e-commerce. Les cybercriminels ont déplacé leur centre d’intérêt des terminaux de points de vente aux plateformes de paiement en ligne des grands sites d’e-commerce. Des groupes malveillants, comme Magecart, ont réussi à récupérer des milliers de coordonnées de cartes bancaires directement depuis les sites Web ciblés. Cela a alimenté la demande, sur le marché noir, pour l’acquisition à la fois de coordonnées bancaires et d’outils malveillants pouvant être utilisés pour les dérober. En outre, à mesure que les organisations mettent en œuvre des mesures de sécurité supplémentaires, les cybercriminels y réagissent. Par exemple, au fur et à mesure qu’elles ajoutent des vérifications géographiques de l’emplacement IP pour les achats en ligne, la demande d’ordinateurs compromis à partir du même code postal que les renseignements volés sur les cartes de crédit augmente.

• Les méthodes courantes de pénétration de systèmes et d’attaques restent répandues
o Common Vulnerabilities and Exposures (CVE). Les chercheurs de McAfee ont été témoins de nombreuses mentions de CVE dans des discussions sur les kits d’exploitation, via navigateur, de RIG, Grandsoft et Fallout, ainsi que sur le ransomware GandCrab. La popularité de ces sujets souligne l’importance de la gestion des vulnérabilités pour les organisations du monde entier.
o Remote Desktop Protocol (RDP). Les vendeurs de login de systèmes informatiques à travers le monde, qu’il s’agisse de codes relatifs à l’habitat d’un particulier, à des appareils médicaux ou à des systèmes gouvernementaux, sont restés très prisés sur le troisième trimestre. Ces sites de ventes fournissent un point d’entrée unique pour les cybercriminels qui cherchent à commettre une fraude, vendre des accès RDP, ainsi que des numéros de sécurité sociale, des coordonnées de carte bancaire ou l’accès à des comptes en ligne.
o Ransomware-as-a-Service (RaaS). Les ransomwares demeurent répandus, comme l’illustre leur croissance de 45 % au cours des quatre derniers trimestres ainsi que le vif intérêt pour les principales familles de RaaS tels que Gandcrab sur les forums clandestins. Cependant, le nombre de familles de ransomware unique a diminué depuis le quatrième trimestre 2017, car de plus en plus d’ententes ont vu le jour, comme par exemple celle entre GandCrab et le service de cryptage NTCrypt, observée au troisième trimestre 2018. Les partenariats et les programmes d’affiliation ont permis d’améliorer le niveau de service fourni aux clients et d’augmenter les taux d’infection.

Activités des menaces au cours du troisième trimestre 2018

Cryptomining et IoT. Les dispositifs IoT, tels que les appareils photo ou les magnétoscopes n’ont typiquement pas été utilisé pour le cryptomining car ils n’ont pas la puissance CPU des ordinateurs de bureau et portable. En revanche, les cybercriminels ont pris conscience du volume de dispositifs IoT croissant et du manque de sécurité de nombre d’entre eux. Ils ont commencé à se concentrer sur eux, en exploitant des milliers de dispositifs pour créer un super-ordinateur minier. Les nouveaux programmes malveillants ciblant les périphériques IoT ont augmenté de 73 % au 3èmetrimestre, avec un volume ayant augmenté de 203 % au cours de l’année dernière. Les nouveaux malwares de cryptomonnaie ont augmenté de près de 55 %, avec une augmentation de 4,467 % de leur volume total au cours des quatre derniers trimestres.

Malware sans fichier. Les nouveaux malwares codés en JavaScript ont augmenté de 45 %, tandis que les nouveaux malwares PowerShell ont augmenté de 24 %.

Incidents de sécurité. McAfee Labs a dénombré 215 incidents de sécurité divulgués publiquement, soit une diminution de 12 % par rapport au deuxième trimestre 2018. Une majorité d’entre eux a eu lieu aux Amériques (44%), 17 % en Europe et 13 % en Asie-Pacifique.

Différentes industries prises pour cibles. Les incidents révélés ciblant les institutions financières ont augmenté de 20 %. Les chercheurs de McAfee ont d’ailleurs observé une augmentation des campagnes de spam utilisant des types de fichiers peu courants, une tentative pour augmenter les chances d’échapper aux protections de base des emails. Les chercheurs de McAfee ont également observé que les malwares bancaires incluent des opérations à deux facteurs dans les injections Web pour éviter l’authentification à deux facteurs. Ces tactiques font suite à un vaste effort de la part des institutions financières d’accroître la sécurité de leurs systèmes ces dernières années.

Les incidents divulgués ciblant le secteur de la santé sont restés stagnants, les attaques à destination du secteur public ont diminué de 2 % et celles à destination de l’éducation ont diminué de 14 %.

Pays ciblés. Les chercheurs de McAfee ont remarqué une nouvelle famille de malware, CamuBot, qui a particulièrement ciblé le Brésil au troisième trimestre. Ce dernier tente de se faire passer pour un module de sécurité requis par les institutions financières ciblées. Bien que les organisations cybercriminelles au Brésil ciblent très activement leur propre population, leurs campagnes passées ont été relativement grossaires. Avec CamuBot, ils semblent avoir appris de leurs pairs, adaptant leurs logiciels malveillants pour qu’ils soient plus sophistiqués et comparables à ceux des autres continents.

Les incidents révélés ciblant les Amériques et l’Asie-Pacifique ont respectivement baissé de 18 % et de 22 %. En Europe, ils ont toutefois augmenté de 38 %.

Vecteurs d’attaques, parmi ceuxmenés figurent les détournements de comptes, la fuite de données, l’intrusion/accès non autorisés et la manipulation des vulnérabilités.

Ransomware. GandCrab, l’une des familles les plus actives du trimestre, a fait passer de 1.000 à 2.400 dollars le montant de rançon à verser. Les kits d’exploitation, vecteurs de nombreuses cyberattaques, renforcent la prise en charge des vulnérabilités et des ransomwares. Le nombre de nouveaux échantillons de ransomware a augmenté de 10 % au courant du troisième trimestre. Le nombre total d’échantillons de a quant à lui augmenté de 45 % au cours des quatre derniers trimestres.

Mobile malware. Le nombre de nouveaux malwares mobile a diminué de 24 % sur la période. Malgré cette tendance à la baisse, quelques rares menaces sont apparues, comme de fausses applications de jeux (Fortnite) et de rencontres. Ciblant les membres des forces militaires israéliennes, cette dernière application permettait d’accéder à l’emplacement de l’appareil, à sa caméra, à la liste des contacts enregistrés, ainsi que d’écouter les appels téléphoniques.

Malware. Le nombre d’échantillons de nouveaux malwares a augmenté de 53 %. Le volume total d’échantillons de malwares a augmenté 34 % au cours de l’année écoulée.

Mac malware. Les nouveaux malwaresciblant Mac OS ont augmenté de 9 %. Leur volume total a augmenté de 51 % au cours des quatre derniers trimestres.

Macro malware. Les nouveauxmacro malwares ont enregistré une augmentation de 32 % au cours du troisième trimestre et de de 24% sur l’année coulée.

Campagnes spam. 53% du trafic de spam botnet au troisième trimestre été conduit par Gamut, le principal botnet producteur de spam qui s’appuie sur une méthode de "sextorsion" pour intimider ses victimes via la menace de divulgation des ses habitudes de navigation et exiger un paiement en contre-partie.




Voir les articles précédents

    

Voir les articles suivants