Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Rapport WatchGuard : Les attaques par malware sans fichier bondissent de près de 900 %, les cryptomineurs sont de retour alors que les attaques par ransomware reculent

mars 2021 par WatchGuard Technologies

WatchGuard® Technologies annonce la publication de son rapport en matière de sécurité Internet pour le 4ème trimestre 2020. Dans le sillage de l’acquisition de Panda Security en juin 2020, WatchGuard intègre désormais à son rapport trimestriel des informations sur les menaces pesant sur les endpoints.

Le rapport du 4ème trimestre 2020 met notamment en lumière les conclusions suivantes :
- Les attaques par malware sans fichier (fileless malware) et les cryptomineurs ont progressé respectivement de 888 % et 25 %, tandis que les charges utiles uniques de ransomware ont fortement baissé (-48 %) entre 2019 et 2020.
- En outre, le Threat Lab de WatchGuard a découvert qu’au dernier trimestre 2020, les détections de malwares chiffrés ont augmenté de 41 % par rapport au trimestre précédent et que les attaques réseau ont atteint leurs plus hauts niveaux depuis 2018.

Corey Nachreiner, Chief Technology Officer chez WatchGuard explique : « La montée en puissance des tactiques furtives et sophistiquées parmi les menaces, au dernier trimestre comme sur l’ensemble de l’année 2020, montre qu’il est capital de mettre en œuvre des fonctions de sécurité multiniveau et de bout en bout. Les attaques peuvent venir de toutes parts car les cybercriminels ont de plus en plus recours aux malwares sans fichier, aux cryptomineurs, aux attaques chiffrées et à d’autres techniques, et ils visent à la fois les utilisateurs à distance et les actifs des entreprises situés derrière le périmètre réseau classique. À l’heure actuelle, un dispositif de sécurité efficace passe en priorité par la détection des attaques sur les endpoints et la réponse à celles-ci, les défenses du réseau et les précautions élémentaires à prendre telles que des actions de sensibilisation à la sécurité et une gestion rigoureuse des correctifs ».

Les rapports trimestriels de WatchGuard en matière de sécurité Internet informent les entreprises, leurs partenaires et leurs clients finaux sur les dernières tendances relatives aux malwares, aux attaques sur les endpoints et aux attaques réseau à mesure qu’elles se dessinent. Le rapport du dernier trimestre 2020 dresse notamment les conclusions suivantes :
- Le nombre d’attaques par malware sans fichier explose. Les cas ont augmenté de 888 % entre 2019 et 2020. Ces menaces peuvent s’avérer particulièrement dangereuses car elles sont capables d’échapper au radar des protections classiques des endpoints chez les clients, et parce qu’elles peuvent arriver à leurs fins très simplement, en incitant par exemple les victimes à cliquer sur un lien malveillant ou à consulter à leur insu des sites Web compromis. Des boîtes à outils telles que PowerSploit et CobaltStrike permettent aux attaquants d’injecter facilement du code malveillant dans des processus en fonctionnement, lequel code restera opérationnel même si les défenses

de la victime identifient et suppriment le script d’origine. Déployer des solutions de protection des endpoints et de réponse aux attaques, en plus des systèmes anti-malware préventifs, aide à identifier ce type de menaces.

- Les cryptomineurs reviennent en force après l’accalmie de 2019. Suite à l’effondrement de presque toutes les cryptomonnaies début 2018, les infections par cryptomineur se sont depuis faites plus rares, jusqu’à atteindre le niveau le plus bas de détection de variantes uniques en 2019 (633). Toutefois, les cybercriminels ont continué à ajouter des modules de cryptominage aux infections par botnet existantes. Ils soutirent à leurs victimes des revenus passifs tout en exploitant leurs réseaux pour commettre d’autres cybercrimes. Avec ce procédé, et porté par la reprise du cours des cryptomonnaies au 4ème trimestre 2020, le volume d’attaques par malware de cryptominage détectées a augmenté de 25 % par rapport à 2019, atteignant un niveau de 850 variantes uniques l’année dernière.

- Les attaques par ransomware continuent de reculer. Pour la 2ème année d’affilée, le nombre de charges utiles uniques de ransomwares diminue en 2020, avec un total de 2 152 contre 4 131 en 2019 et 5 489 en 2018 (record historique). Il s’agit là du nombre de variantes individuelles de ransomware qui ont pu infecter des centaines voire des milliers de endpoints dans le monde. Pour la plupart, elles ont été détectées grâce à des signatures mises en œuvre initialement en 2017 dans le but de repérer le logiciel malveillant WannaCry et ses variantes, ce qui montre que les tactiques de ransomworm continuent de se développer plus de 3 ans après l’entrée en scène de ce logiciel spécifique. Le déclin régulier du volume des attaques par ransomware témoigne du changement de cap des cybercriminels : les campagnes incohérentes et généralisées font désormais place à des actions ultraciblées à l’encontre des organisations de santé, des entreprises industrielles ou d’autres victimes qui ne peuvent se permettre des temps d’arrêt dans leur activité.

- Les attaques furtives par malware chiffré connaissent une croissance à deux chiffres. Si le volume d’attaques par malware est globalement en baisse depuis quatre trimestres, près de la moitié (47 %) des attaques détectées par WatchGuard au sein du périmètre réseau au cours du 4ème trimestre étaient chiffrées. De plus, les malwares introduits par le biais de connexions HTTPS ont progressé de 41 %, et les malwares Zero Day chiffrés (variantes qui contournent les signatures antivirus) de 22 % par rapport au 3ème trimestre.

- Les botnets ciblant les appareils IoT et les routeurs deviennent une menace prépondérante. Au 4ème trimestre, le virus Linux.Generic (également appelé « The Moon ») a fait son entrée dans la liste des 10 principaux malwares détectés par WatchGuard. Il fait partie d’un réseau de serveurs qui vise directement les appareils IoT et les périphériques réseau des consommateurs, tels que les routeurs, pour y exploiter toute vulnérabilité qui s’y dissimulerait. En menant l’enquête, WatchGuard a mis au jour un malware spécifique à Linux conçu pour les processeurs d’architecture ARM ainsi qu’une autre charge utile conçue pour les processeurs d’architecture MIPS, ce qui met clairement en exergue la progression des attaques furtives à l’encontre d’appareils IoT.

• Le piratage SolarWinds aux États-Unis illustre les dangers des attaques dirigées contre la supply chain. Le piratage de la supply chain au travers des produits SolarWinds, attaque sophistiquée et prétendument orchestrée par un autre État, aura des répercussions sur le secteur de la sécurité pendant des années. Ses effets se sont fait sentir bien au-delà de SolarWinds, au sein de près de 100 sociétés, dont certains grands noms appartenant au classement Fortune 500 et de grandes entreprises de cybersécurité, et même au sein du gouvernement américain. La décomposition détaillée de l’incident par WatchGuard met en lumière l’importance de se protéger contre les attaques de la supply chain dans l’écosystème numérique et interconnecté d’aujourd’hui.

- Un nouveau Trojan dupe les programmes d’analyse d’emails au moyen de charges utiles multiples. Le virus Trojan.Script.1026663 s’est hissé dans le top 5 des malwares les plus répandus détectés au 4ème trimestre par WatchGuard. L’attaque commence par un email demandant à la victime de vérifier le contenu d’une commande en pièce jointe. Le document déclenche alors une série de charges utiles et un code malveillant qui conduit l’ordinateur de la victime à télécharger l’attaque finale : le Trojan d’accès à distance (RAT) Agent Tesla et son enregistreur de frappe.

- Le volume des attaques réseau s’approche du pic décelé en 2018. Le nombre d’attaques réseau détectées a augmenté de 5 % au cours du 4ème trimestre, atteignant ainsi son niveau le plus haut en plus de deux ans. Le total des signatures uniques d’attaque réseau a lui aussi connu une croissance stable, à savoir +4 % par rapport au trimestre précédent. Ceci met en évidence que, même si le télétravail se poursuit partout dans le monde, le périmètre réseau des entreprises reste le nerf de la guerre puisque les auteurs de menaces continuent de cibler des actifs On premise.

Au 4ème trimestre, les appliances WatchGuard ont bloqué en tout plus de 20,6 millions de variantes de malware (456 par appliance) et près de 3,5 millions de menaces réseau (77 détections par appliance).

Elles ont au total bloqué 455 signatures d’attaque uniques au 4ème trimestre, soit 4 % de plus qu’au 3ème trimestre et un record depuis le 4ème trimestre 2018. Les rapports trimestriels de WatchGuard s’appuient sur les données anonymisées du flux provenant des appliances Firebox actives, que leurs propriétaires ont accepté de partager afin de soutenir les efforts de recherche du Threat Lab. En outre, les nouveaux renseignements du rapport relatifs aux menaces prenant pour cible les endpoints permettent de mieux connaître les tendances et les attaques par malware ayant spécifiquement ciblé les terminaux au cours de l’année 2020, sur la base de plus de 2,5 millions d’alertes de charges utiles uniques collectées à partir de 1,7 million de endpoints dans 92 pays.




Voir les articles précédents

    

Voir les articles suivants