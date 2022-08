août 2022 par Avast

Avast a publié son rapport sur les menaces pour le deuxième trimestre 2022, qui révèle une augmentation significative des attaques de ransomware dans le monde, soit 24 % de plus qu’au premier trimestre 2022. Les chercheurs ont également découvert un nouvel exploit « Zéro day » dans Chrome, et signalent comment les cybercriminels se préparent à abandonner les macros comme vecteur d’infection.

Forte augmentation des attaques par ransomware

Après des mois de déclin, les attaques mondiales de ransomware ont augmenté de manière significative au cours du 2ème trimestre 2022, soit une hausse de 24 % par rapport au trimestre précédent. Les plus fortes augmentations trimestrielles du ratio de risque de ransomware ont été enregistrées en Argentine (+56 %), au Royaume-Uni (+55 %), au Brésil (+50 %), en France (+42 %) et en Inde (+37 %).

"Les consommateurs, mais surtout les entreprises, doivent rester sur leurs gardes et se préparer à rencontrer des ransomwares, car cette menace n’est pas prête de disparaître", explique Jakub Kroustek, directeur de la recherche sur les malwares chez Avast. "La baisse des attaques de ransomware que nous avons observée au quatrième trimestre de l’année 2021 et au premier trimestre de l’année 2022 était due à l’arrestation par les forces de l’ordre de membres de groupes de ransomware, ainsi qu’à la guerre en Ukraine, qui a également entraîné des désaccords au sein du groupe de ransomware Conti, interrompant leurs opérations. Les choses ont radicalement changé au deuxième trimestre 2022. Les membres de Conti ont maintenant bifurqué pour créer de nouveaux groupes de ransomware, comme Black Basta et Karakurt, ou peuvent rejoindre d’autres groupes existants, comme Hive, BlackCat ou Quantum, ce qui provoque un regain d’activité."

Exploits zero day

Les chercheurs d’Avast ont découvert deux nouveaux exploits zero day utilisés par le vendeur de logiciels espions islandais Candiru pour cibler, entre autres, des journalistes au Liban. Le premier est un bogue dans WebRTC, qui a été exploité pour attaquer les utilisateurs de Google Chrome dans des attaques très ciblées de type "watering hole", mais qui a également affecté de nombreux autres navigateurs. Un autre exploit a permis aux attaquants de s’échapper d’une sandbox dans laquelle ils avaient atterri après avoir exploité le premier zero-day. Le deuxième zéro day découvert par Avast a été exploité pour pénétrer dans le noyau de Windows.

Un autre zero-day décrit dans le rapport est Follina, un bug d’exécution de code à distance dans Microsoft Office, qui a été largement exploité par des attaquants allant des cybercriminels aux groupes APT liés à la Russie et opérant en Ukraine. Ce zero-day a également été exploité par Gadolinium/APT40, un groupe APT chinois connu, dans une attaque contre des cibles à Palau.

Macros bloquées par défaut

Microsoft bloque désormais les macros VBA par défaut dans les applications Office. Les macros sont un vecteur d’infection populaire depuis des décennies. Elles ont été utilisées par les menaces décrites dans le rapport sur les menaces du deuxième trimestre 2022, notamment les chevaux de Troie d’accès à distance comme Nerbian RAT, un nouveau RAT écrit en Go apparu au deuxième trimestre 2022, et par le groupe APT Confucius pour déposer d’autres logiciels malveillants sur les ordinateurs des victimes.

"Nous avons déjà remarqué que les acteurs de la menace commencent à préparer des vecteurs d’infection alternatifs, maintenant que les macros sont bloquées par défaut. Par exemple, IcedID et Emotet ont déjà commencé à utiliser des fichiers LNK, des images ISO ou IMG, et d’autres astuces supportées par la plateforme Windows comme alternative aux maldocs pour diffuser leurs campagnes", poursuit Jakub Kroustek. "Même si les cybercriminels continueront certainement à trouver d’autres moyens de diffuser leurs malwares sur les ordinateurs des gens, nous avons bon espoir que la décision de Microsoft contribuera à faire d’Internet un endroit plus sûr."