Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Rapport annuel SonicWall des menaces : les cybercriminels innovent, les professionnels de la sécurité ne sont pas en reste

février 2017 par SonicWall

SonicWall publie les conclusions de son rapport annuel sur les menaces, qui fait état des avancées technologiques les plus importantes des professionnels de la sécurité comme des cybercriminels en 2016. Le rapport a été établi à partir de données collectées courant 2016 par le réseau GRID (Global Response Intelligent Defense) de SonicWall avec des flux quotidiens de plus d’un million de capteurs de sécurité déployés dans pratiquement 200 pays et territoires.

D’après ce rapport, l’année 2016 peut être considérée comme innovante du point de vue des professionnels de la sécurité comme des cybercriminels. Contrairement aux années précédentes, SonicWall a relevé une diminution de 6,25% du nombre de différents malwares qui se propagent, passant de 64 millions en 2015 à 60 millions en 2016. Les tentatives d’attaques ont réellement chutées pour la première fois depuis des années et sont passées de 8,18 milliards en 2015 à 7,87 milliards en 2016. Toutefois, les cybercriminels ont rapidement tiré profit des ransomwares, notamment en raison de l’augmentation des services Ransomware-as-a-service (RaaS).

"Il serait incorrect de dire que le paysage des menaces s’est étendu ou s’est rétracté en 2016. En revanche, il semble avoir évolué et changé, a affirmé Bill Conner, PDG de SonicWall. La cybersécurité n’est pas une guerre d’usure ; c’est une course aux armements, et les deux camps s’avèrent extrêmement novateurs et compétents."

Avancées technologiques du secteur de la sécurité

Réduction de 93 % des attaques via des logiciels malveillants de PDV entre 2014 et 2016. Suite à la médiatisation en 2014 de certaines atteintes à la sécurité dans le domaine du commerce de détail, les entreprises ont adopté des mesures de sécurité plus proactives. Depuis, ce secteur a connu l’implémentation de systèmes de PDV basés sur des cartes à puce, surtout aux US, l’utilisation de la liste de contrôle PCI-DDS et d’autres mesures de sécurité.

 ? En 2014, le réseau GRID de SonicWall a observé une augmentation de 333 % du nombre de nouvelles contre-mesures développées et déployées face aux malwares de PDV par rapport à l’année précédente.

 ? Le réseau GRID de SonicWall a vu le nombre de nouvelles variantes de logiciels malveillants de PDV diminuer de 88 % d’une année sur l’autre, et de 93 % depuis 2014. Cette diminution implique que les cybercriminels passent moins de temps à innover en matière de malwares de PDV.

Croissance de 38 % du trafic crypté SSL/TLS, partiellement en raison de l’adoption croissante d’applications cloud

La tendance du cryptage SSL/TLS évolue depuis plusieurs années. La croissance du trafic Internet en 2016 s’est accompagnée de celle du cryptage SSL/TLS, passant de 5,3 mille milliards de connexions Internet en 2015 à 7,3 mille milliards en 2016, d’après le réseau GRID de SonicWall.

• La plupart des sessions Web détectées par le réseau GRID de SonicWall dureant l’année étaient cryptées via SSL/TLS, soit 62 % du trafic Internet.

• L’une des raisons de l’augmentation du cryptage SSL/TLS réside dans l’adoption croissante d’applications cloud par les entreprises. Selon le réseau GRID de SonicWall, l’utilisation totale d’applications cloud est passée de 88 mille milliards en 2014 à 118 mille milliards en 2015, puis à 126 mille milliards en 2016.

Même si cette tendance vers le cryptage SSL/TLS est globalement positive, une mise en garde est nécessaire. Le cryptage SSL/TLS complique la tâche aux cybercriminels au moment d’intercepter les informations de paiement des clients. Cependant, il fournit également une porte dérobée sur le réseau qui ne fait l’objet d’aucun contrôle et n’est pas inspectée, celle-ci étant exploitée par les cybercriminels afin d’introduire discrètement des malwares. Cette mesure de sécurité peut donc se transformer en vecteur d’attaque, car les entreprises ne disposent toujours pas d’une infrastructure adaptée permettant d’effectuer une inspection de type Deep Packet Inspection (DPI) visant à détecter les logiciels malveillants cachés dans les sessions Web cryptées via SSL/TLS.

Disparition des exploit kits dominants à la mi-2016 : Angler, Nuclear et Neutrino
Au début de l’année 2016, le marché des malwares était dominé par une poignée d’exploit kits, notamment Angler, Nuclear et Neutrino. Suite à l’arrestation de plus de 50 hackers russes pour avoir exploité le cheval de Troie Lurk à des fins de fraude bancaire, le réseau GRID a observé que l’exploit kit Angler a soudainement disparu des radars. Certains en ont conclu que les créateurs d’Angler faisaient partie des individus arrêtés.[i] Pendant un certain temps après la disparition d’Angler, Nuclear et Neutrino ont connu un pic d’utilisation, avant de s’effacer rapidement eux aussi.

• Le réseau GRID a remarqué que les autres exploit kits ont commencé à se fragmenter en plusieurs versions plus petites pour combler ce vide. Au cours du troisième trimestre de 2016, SonicWall a observé que Rig avait évolué en trois versions utilisant des modèles d’URL, un cryptage de page d’accueil et un cryptage de la charge utile différents.

• Comme pour les spams et autres méthodes de distribution en 2016, SonicWall a remarqué que les exploit kits ont pris part à la diffusion de ransomware, en adoptant des variantes de Cerber, Locky, CrypMIC, BandarChor, TeslaCrypt et autres comme leurs charges utiles principales au cours de l’année. Cependant, les exploit kits ne se sont jamais remis du coup qu’ils ont reçu plus tôt dans l’année avec la chute de leurs familles dominantes.

Avancées technologiques des cybercriminels

Les ransomwares ont été 167 fois plus utilisés d’une année sur l’autre en tant que payload favori pour les campagnes d’e-mail malveillantes et les exploit kits.
Le réseau GRID de SonicWall a détecté une augmentation stupéfiante, passant de 3,8 millions d’attaques de ransomware en 2015 à 638 millions en 2016. L’augmentation du ransomware-as-a-service a permis de faciliter l’obtention et le déploiement de ces menaces. La croissance sans précédent des ransomwares a également été due à la facilité d’accès au marché clandestin, au coût réduit des attaques par ransomware, à la facilité de diffusion des malwares et au faible risque d’être repéré ou puni.

 ? L’utilisation des ransomwares a augmenté toute l’année, dès mars où les tentatives d’attaques par ransomware sont passées de 282 000 à 30 millions entre le début et la fin du mois, et ce jusqu’au dernier trimestre qui se solde par 266,5 millions de tentatives d’attaques par ransomware.

 ? Le payload le plus populaire pour les campagnes d’e-mail malveillantes en 2016 est le ransomware, généralement Locky, qui a été déployé dans environ 90 % des attaques Nemucod et dans plus de 500 millions d’attaques au total au cours de l’année.

 ? Aucun secteur n’a été épargné par les tentatives d’attaques de ransomware. Plusieurs secteurs clés ont été ciblés de manière à peu près équivalente, y compris le secteur de l’ingénierie industrielle et mécanique (regroupant 15 % des attaques par ransomware), suivi ex-aequo des services pharmaceutiques (13 %) et financiers (13 %), ainsi que du secteur immobilier (12 %) en troisième position.

« Avec l’augmentation continue des attaques de ransomware, cette étude SonicWall démontre l’importance pour les entreprises d’évaluer leur stratégie de cybersécurité » déclare Mike Spanbauer, Vice-Président Sécurité, Test et Conseil, NSS Labs. « Nous avons relevé des avancées technologiques majeures de la part des cybercriminels en 2016 et sommes confiants que le secteur de la sécurité prendra le dessus avec des acteurs tels que SonicWall qui sont prêts à investir et développer les technologies adéquates et les meilleures approches pour remporter la bataille contre les ransomwares »

Les terminaux de l’Internet des objets ont été endommagés à grande échelle en raison de la mauvaise conception des fonctionnalités de sécurité, ouvrant la porte aux attaques par déni de service (DDoS).
De par leur intégration aux composants principaux de nos vies professionnelles et personnelles, les dispositifs IoT sont devenus un vecteur d’attaque attrayant pour les cybercriminels en 2016. Au cours de cette année, les failles en matière de sécurité de l’Internet des objets ont permis aux cybercriminels de lancer les attaques par déni de service (DDoS) les plus largement distribuées de l’histoire, et ce en exploitant des centaines de milliers de terminaux IoT dont les mots de passe telnet étaient faibles, afin de lancer des attaques DDoS via Mirai, l’infrastructure de gestion du réseau de zombies.

 ? Le réseau GRID de SonicWall a constaté des vulnérabilités sur tous les types de terminaux IoT, y compris les caméras, les vêtements, les maisons, les véhicules, les produits de divertissement, tous dits intelligents.

 ? Au moment du pic d’utilisation de Mirai en novembre 2016, le réseau GRID a observé que les États-Unis étaient de loin la première cible, avec 70 % des attaques DDoS orientées vers cette région, suivis du Brésil (14 %) et de l’Inde (10 %).[ii]

Les protections de sécurité ont été améliorées pour les appareils Android, mais ils restent vulnérables aux attaques par incrustation.
En 2016, Google s’est efforcé de lutter contre les vulnérabilités et les exploit kits utilisés par les cybercriminels contre Android par le passé, mais les hackers ont utilisé des techniques novatrices défiant ces améliorations de sécurité.[iii]

 ? Le réseau GRID a observé que les cybercriminels exploitaient les incrustations d’écran afin d’imiter les écrans d’applications légitimes dans le but de tromper les utilisateurs et de leur faire entrer leurs informations de connexion et autres données. Lorsqu’Android a réagi via la création de nouvelles fonctionnalités de sécurité afin de lutter contre ces attaques, SonicWall a observé que les hackers contournaient ces mesures en convainquant les utilisateurs de fournir des droits d’accès permettant aux incrustations de continuer à fonctionner. [iv]

 ? Les applications compromises dédiées aux adultes ont diminué sur Google Play, mais les cybercriminels ont trouvé d’autres victimes auprès de boutiques d’applications tierces. Tout comme le ransomware, les applications à installation automatique ont été un payload courant. Le réseau GRID de SonicWall a compté plus de 4 000 applications différentes ayant des payloads à installation automatique en l’espace de deux semaines.[v],[vi]


Voir les articles précédents

    

Voir les articles suivants