« On a prétendu que les campagnes de ransomware [WannaCry et NotPetya] avaient échoué en raison de la faible somme générée », explique Raj Samani, Chief Scientist - McAfee. « Cependant, il est tout aussi probable que leur motivation première n’ait pas été l’argent, mais de perturber. Auquel cas, les deux campagnes ont été incroyablement efficaces. Nous vivons désormais dans un monde où chaque motif derrière un ransomware n’est plus simplement de gagner de l’argent, mais dans l’univers du pseudo-ransomware. »

Au deuxième trimestre 2017, Facebook a émergé comme un vecteur d’attaques notable. Faceliker a contribué, à hauteur de 8,9 %, aux 52 millions d’échantillons de logiciels malveillants nouvellement détectés. Ce cheval de Troie infecte le navigateur d’un utilisateur lorsqu’il visite un site malveillant ou compromis. Il détourne alors les "j’aime" et favorise le contenu à l’insu de l’internaute. A grande échelle, le système peut générer d’importants revenus pour les malfaiteurs derrière Faceliker. Les clics détournés pouvant faire apparaître un contenu (article, vidéo, site Web ou annonce) plus populaire/fiable qu’il ne l’est vraiment.

« Faceliker exploite et manipule les communications basées sur les réseaux sociaux et les applications que les individus utilisent le plus aujourd’hui », commente Vincent Weafer, Vice-Président du McAfee Labs. « En favorisant la popularité et la légitimité d’applications ou de news de toute pièce, c’est notre manière de percevoir l’intérêt et la vérité des choses qui est altérée. Tant qu’un tel procédé sera lucratif pour les cybercriminels, nous devrons nous attendre à rencontrer davantage de programmes de ce type dans le futur. »

L’analyse trimestrielle de McAfee Labs révèle que le secteur public a été le plus ciblé au cours du second trimestre 2017, et plus particulièrement en Amérique du Nord depuis un an et demi. Le rapport révèle également que le domaine de la santé est demeuré parmi les plus visés avec une hausse de 26 % enregistrée sur le deuxième trimestre. Cette tendance a commencé au premier trimestre 2016 lorsque de nombreux hôpitaux ont subi des attaques par ransomware. Ces dernières ont paralysé plusieurs services et ont contraint, dans certains cas, les hôpitaux à transférer des patients et à retarder des opérations. Si les fuites de données dans le domaine de la santé sont aussi probablement le résultat de diffusions accidentelles et d’erreurs humaines, le secteur continue d’enregistrer un nombre croissant de cyberattaques.

Les principaux faits marquants en matière de menaces enregistrés au cours du deuxième trimestre 2017

Le réseau McAfee Labs Global Threat Intelligence a enregistré des tendances notables dans la croissance des cyber-menaces et des cyberattaques :

• Incidents de sécurité. McAfee Labs a recensé 311 incidents de sécurité rendus publiques, soit une augmentation de 3 % par rapport au trimestre précédent. Une grande majorité (78 %) a eu lieu sur le continent américain.

• Cibles verticales. Les secteurs publics, de la santé et de l’éducation représentaient plus de 50 % des incidents répertoriés dans le monde en 2016-2017. Le McAfee Labs a identifié quelques grandes tendances régionales
o Amérique du Nord : les attaques ciblant le secteur de la santé sont en tête des incidents de sécurité.
o Asie-Pacifique. En Asie, c’est davantage le secteur public qui est ciblé, suivi par les domaines des services financiers et des technologies.
o EMEA. En Europe, c’est le secteur public qui remporte la première place, suivi des domaines du divertissement, de la santé, des finances et des technologies.

• Vecteurs d’attaque. Le détournement de compte fait figure du premier vecteur d’attaque le plus divulgué, suivis des attaques DDoS, des fuites de données, des attaques ciblées, des malwares et des injections SQL.

• Malware. Le volume de nouveaux échantillons de logiciels malveillants découvert au second trimestre a atteint les 52 millions, soit une augmentation de 67 %. Une telle hausse est en partie due à une croissance significative des programmateurs de logiciels malveillants et de Faceliker. Sur les 12 derniers mois, le nombre total d’échantillons de malwares a croit de 23 % plafonnant à près de 723 millions d’échantillons.

• Ransomware. Les nouveaux échantillons de ransomware ont encore fortement augmenté ce trimestre (+ 54 %). Leur volume total s’est accru de 47 % au cours des quatre derniers trimestres pour atteindre 10,7 millions d’échantillons.

• Malware mobile. Depuis un an, leur nombre total a augmenté de 61 % et représente 18,4 millions d’échantillons.

• Malware ciblant Mac OS. Le taux de logiciels malveillants ciblant Mac OS est redescendu à un niveau historique au second trimestre avec 27 000 nouveaux échantillons, soit une hausse de 4 %.

• Macro malwares. Les nouveaux logiciels malveillants ont augmenté de 35%. Au cours du deuxième trimestre, 91 000 nouveaux échantillons ont été relevé, portant le total de macro malwares référencés à 1,1 million.

• Campagnes de spam. Le botnet Gamut revendique le premier rang en matière de volume. Pour rappel, il spamme autour de la recherche d’emploi et de la contrefaçon pharmaceutique. Le botnet Necurs a été le plus perturbateur, mettant en place plusieurs stratagèmes de ‘pump-and-dump’.

La hausse des logiciels malveillants basés sur des scripts

Les chercheurs de McAfee révèlent également l’augmentation notable de malware basé sur des scripts depuis ces deux dernières années. Le langage de script Microsoft est utilisé pour automatiser les tâches d’administration telles que l’exécution des commandes en arrière-plan, la vérification des services installés sur le système, la fin des processus et la gestion des configurations des systèmes et serveurs. Les scripts malveillants PowerShell arrivent habituellement sur le poste d’un utilisateur par un courrier indésirable, en s’appuyant sur l’ingénierie sociale plutôt que sur des vulnérabilités logicielles. Ils tirent ensuite partie des capacités des scripts pour compromettre le système.
Cette tendance comprend également l’armement de JavaScript, VBScript et d’autres types de modules non exécutables utilisant .doc, PDF, .xls, HTML et d’autres normes de l’informatique personnelle.

Les bonnes pratiques de la chasse aux menaces

Le dernier rapport de McAfee propose également des méthodes pour aider les chasseurs de menaces à repérer la présence d’adversaires dans leur environnement. En commençant par les principes de ce que l’entité Foundstone de McAfee appelle les « Trois Grands Savoirs : connaître l’ennemi, son réseau et ses outils ». Le rapport délivre de multiples conseils pour la recherche de commande et de contrôle, la persistance, l’escalade des privilèges, le mouvement latéral, et l’exfiltration.

« Une hypothèse sous-jacente est qu’il existe à chaque instant au moins un système compromis sur le réseau issue d’une attaque qui a réussi à échapper aux mesures de sécurité préventives de l’organisation » précise Ismael Valenzuela, ingénieur, chasseur de menaces et analyste de sécurité chez McAfee. « Les chasseurs de menaces doivent rapidement trouver des artefacts ou preuves qui pourraient indiquer la présence d’un adversaire. Cela contribue à contenir et à éliminer une attaque avant qu’elle ne déclenche une alarme ou entraîne une violation de données. »