Principales conclusions :
• McAfee constate que les détections de cyberattaques sur la thématique de la Covid-19 augmentent de 114 % au quatrième trimestre 2020 ;
• Les menaces Powershell augmentent de 208 %, notamment avec le malware Donoff ;
• Les nouveaux échantillons de logiciels malveillants augmentent de 10 %, avec une moyenne de 648 nouvelles menaces par minute ;
• Les nouveaux ransomwares augmentent de 69 % et les malwares mobiles de 118 % ;
• McAfee note 3,1 millions d’attaques externes sur des comptes d’utilisateurs cloud ;
• L’exploit EternalBlue est la faille la plus exploitée au quatrième trimestre ;
• Les principales techniques ATT&CK de MITRE sont la découverte d’informations système, les fichiers obfusqués, l’injection de processus et l’exploitation d’applications publiques.

Au T4, McAfee Labs a observé une moyenne de 648 menaces par minute, soit une augmentation de 60 menaces par minute (+10 %) par rapport au T3. Les deux trimestres ont également vu les détections de cyberattaques liées à la Covid-19 augmenter de 240 %, tandis que les menaces Powershell ont à nouveau bondi de 208 % en raison de l’augmentation continue de l’activité des malwares Donoff.

« Le monde et les entreprises se sont adaptés aux restrictions liées aux pandémies et aux difficultés persistantes du télétravail, tandis que les menaces de sécurité ont continué à évoluer en termes de complexité et à augmenter en volume », déclare Raj Samani, chercheur associé et responsable scientifique de McAfee. « Bien qu’un grand nombre d’employés soient devenus plus compétents et plus productifs dans le cadre du travail à distance, les entreprises ont dû faire face à des campagnes plus opportunistes liées à la Covid-19, à travers les nouveaux procédés d’acteurs malveillants. En outre, les rançongiciels et les logiciels malveillants ciblant les vulnérabilités des applications et processus professionnels étaient particulièrement présents et restent des menaces dangereuses capables de prendre le contrôle des réseaux et des données, tout en coûtant des millions en actifs et en recouvrement des coûts. »

Menaces thématiques Covid-19

Alors que les entreprises du monde entier s’adaptaient à un nombre sans précédent d’employés travaillant à domicile, les cybercriminels ont travaillé avec acharnement pour lancer des attaques sur le thème de la Covid-19 sur une main-d’œuvre faisant face aux restrictions de la pandémie et aux vulnérabilités potentielles de la sécurité des dispositifs à distance et de la bande passante. Alors que la pandémie commençait à déferler sur le monde, McAfee a constaté une augmentation de 605 % au T2 2020. Ces attaques ont encore augmenté de 240 % au T3 et de 114 % au T4.

Menaces liées aux logiciels malveillants

Au T3 2020, McAfee Labs a observé une moyenne de 588 menaces par minute, soit une augmentation de 169 menaces par minute (40 %). Au T4, cette moyenne est passée à 648 menaces par minute, soit une augmentation de 60 menaces par minute (+10 %).

• Les menaces Powershell ont augmenté de 208 % au T4, en grande partie avec le malware Donoff. McAfee a observé de nombreuses attaques Powershell utilisant l’injection de processus pour insérer du code dans des processus légitimes en cours d’exécution comme élévation technique des privilèges.
• Les logiciels malveillants mobiles ont augmenté de 118 % au T4, notamment en raison d’une augmentation des échantillons de SMS Reg. Les souches HiddenAds, Clicker, MoqHao, HiddenApp, Dropper et FakeApp ont été les familles de malwares mobiles les plus détectées.
• Le volume des ransomwares a augmenté de 69 % entre le T3 et le T4, grâce à Cryptodefense. Les groupes REvil, Thanos, Ryuk, RansomeXX et Maze sont arrivés en tête de liste des familles de ransomware.
• Les logiciels malveillants MacOS ont explosé au T3 (+420 %) en raison du ransomware EvilQuest, mais ont ensuite ralenti vers la fin de l’année.

Victimes, vecteurs et vulnérabilités

Incidents signalés publiquement. McAfee a suivi une augmentation de 100 % des cyber-incidents signalés publiquement et visant le secteur technologique au cours du T4 2020. Les incidents signalés dans le secteur public ont augmenté de 93 % sur la même période.

Vecteurs d’attaque. Les logiciels malveillants étaient la cause la plus signalée des incidents de sécurité au T4, suivis par les détournements de comptes, les attaques ciblées et les vulnérabilités. Les incidents liés à de nouvelles vulnérabilités ont augmenté de 100 % au T4, les logiciels malveillants et les attaques ciblées de 43 % chacun, et les détournements de comptes de 30 %.

Vulnérabilités exploitées. Parmi les campagnes que McAfee a surveillées et étudiées, l’exploit Eternal Blue a été le plus important au T4 2020.

Techniques ATT&CK MITRE

Les principales techniques ATT&CK MITRE observées par McAfee au cours des T3 et T4 sont les suivantes : découverte d’informations système, fichiers ou informations obfusqués, découverte de fichiers et de répertoires, chiffrement de données, arrêt de services, injection de processus, découverte de processus, techniques de masquage et exploitation d’applications.

• La découverte d’informations système est l’une des techniques MITRE les plus remarquables dans les campagnes observées par McAfee au T4 2020. Les logiciels malveillants de ces campagnes contenaient une fonctionnalité qui recueillait la version du système d’exploitation, la configuration matérielle et le nom d’hôte de la machine de la victime et les communiquait à l’acteur de la menace.
• Les fichiers ou informations obfusqués ont été la deuxième technique la plus observée au T4. Un exemple notable est l’utilisation par le groupe d’acteurs de la menace APT28 de fichiers de disques durs virtuels (VHD) pour obscurcir leurs charges utiles malveillantes afin de contourner les technologies de sécurité.
• Injection de processus. McAfee a observé cette technique d’élévation des privilèges parmi plusieurs familles de logiciels malveillants et groupes de menaces, notamment les menaces Powershell, les RAT tels que Remcos, les groupes de ransomware tels que REvil, et plusieurs groupes APT liés à des États.
• Exploitation d’applications destinées au public. Le T4 a été marqué par une recrudescence de l’utilisation de cette technique, car de nombreux rapports de la CISA et de la NSA ont mis en garde l’industrie contre les acteurs de la menace en lien avec des États qui exploitent activement plusieurs vulnérabilités dans des applications accessibles au public, telles que les logiciels de gestion à distance et les VPN. Au-delà des acteurs étatiques sophistiqués, McAfee a également observé des groupes de ransomware utilisant cette tactique d’accès initial.

Attaques contre les utilisateurs du cloud

McAfee a observé près de 3,1 millions d’attaques externes sur des comptes d’utilisateurs du cloud. Ce chiffre est basé sur l’agrégation et l’anonymisation des données d’utilisation du cloud provenant de plus de 30 millions d’utilisateurs du cloud McAfee MVISION dans le monde entier au cours du T4 2020. Cet ensemble de données représente des entreprises de tous les grands secteurs d’activité à travers le monde, notamment les services financiers, la santé, le secteur public, l’éducation, la vente, la technologie, la fabrication, l’énergie, les services publics, les services juridiques, l’immobilier, le transport et les services aux entreprises.

Chaque trimestre, McAfee évalue l’état du paysage des cybermenaces en s’appuyant sur des recherches approfondies, des analyses d’investigation et des données sur les menaces recueillies par le cloud McAfee Global Threat Intelligence à partir de plus d’un milliard de capteurs sur de multiples vecteurs de menaces dans le monde. L’introduction de MVISION Insights en 2020 a permis à McAfee de suivre la prévalence des campagnes, les codes d’identification qui leur sont associés et de déterminer les détections sur le terrain. Le rapport de ce mois-ci est le premier à présenter des statistiques telles que les principales techniques MITRE ATT&CK observées au quatrième trimestre parmi les groupes criminels et APT, tout en partageant des observations sur le malware SUNBURST qui a secoué le monde de la cybersécurité fin 2020.