Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Étude Netskope Threat Labs : les entreprises européennes sont de plus en plus visées par des attaques de malwares exécutés en plusieurs étapes

mai 2024 par Netskope

Le Threat Labs de Netskope a publié une nouvelle étude consacrée au marché européen. Ce rapport indique que si elles utilisent en moyenne moins d’applications cloud que les entreprises d’autres régions du monde, les sociétés européennes reçoivent un plus grand nombre de malwares en provenance du cloud. À l’image de GuLoader, les familles de logiciels malveillants exécutés en plusieurs étapes sont plus répandues en Europe, une région où les auteurs de menaces cherchent à exploiter les services cloud les plus populaires.

Les principales conclusions sont les suivantes :
● La popularité de Microsoft attire l’attention des cyberattaquants : l’Europe affiche une forte préférence pour les applications éditées par Microsoft : Microsoft OneDrive (52 %), SharePoint (33 %), Teams (24 %) et Outlook (20 %) sont en effet les quatre applications cloud les plus utilisées quotidiennement par les entreprises. Les attaquants sont parfaitement conscients de ce succès, ce qui fait de OneDrive et de Sharepoint (qui est également le service de partage de fichiers utilisé par Teams) les premières sources de téléchargement de logiciels malveillants en Europe.
o Le nombre de téléchargements de malwares à partir de Microsoft OneDrive reflète la combinaison des tactiques malveillantes (utilisation abusive de cette application pour distribuer des malwares) et du comportement des victimes (c’est-à-dire la probabilité qu’ils cliquent sur un lien et téléchargent un logiciel malveillant en raison de leur familiarité avec l’application).
o Github arrive en troisième position pour les téléchargements de logiciels malveillants ; en effet, les cybercriminels cherchent à tirer parti du fait que les développeurs téléchargeront du code pour accélérer leur travail.
● Exploitation des services cloud par des malwares exécutés en plusieurs étapes : le téléchargeur GuLoader figure parmi les familles de logiciels malveillants les plus couramment utilisés pour cibler les victimes en Europe. L’utilisation de ce cheval de Troie constitue la première étape pour obtenir un accès avant de diffuser d’autres malwares, notamment des infostealers et des chevaux de Troie.
o Les logiciels malveillants exécutés lors de la deuxième étape sont souvent stockés dans des applications cloud réputées telles que OneDrive ou SharePoint auxquelles les utilisateurs peu méfiants accordent leur confiance les yeux fermés.
o Remcos, un cheval de Troie d’accès à distance (RAT), et AgentTesla, un infostealer, figurent également parmi les principaux logiciels malveillants téléchargés en Europe ; ils sont fréquemment utilisés en conjonction avec GuLoader.
● Après un recul en 2023, les téléchargements de malwares repartent à la hausse en Europe : dans l’ensemble, les téléchargements de logiciels malveillants ont chuté en Europe en 2023, atteignant un niveau bas au second semestre. Depuis février 2024 toutefois, leur augmentation est régulière, de sorte qu’en mai 2024, l’Europe pointe en tête de la moyenne mondiale des téléchargements de logiciels malveillants.
o L’utilisation abusive des applications cloud permet aux malwares d’échapper au radar dans de nombreuses entreprises, esquivant les contrôles de sécurité qui s’appuient sur des outils classiques tels que les listes de blocage de domaine ou les outils qui n’inspectent pas l’ensemble du trafic écoulé sur le cloud.
« Il est intéressant de voir que les attaquants utilisent GuLoader comme malware de première étape pour diffuser un logiciel malveillant, déclare Paolo Passeri, Cyber Intelligence Principal chez Netskope. GuLoader exploite des services cloud fortement appréciés des utilisateurs tels que OneDrive ou Google Drive pour diffuser une charge malveillante qui sera exécutée à un stade ultérieur de l’attaque. Cette dernière étude souligne une fois de plus que les entreprises doivent absolument inspecter l’ensemble du trafic associé à leurs applications cloud, que ce soit à destination ou en provenance d’un service cloud réputé. Certains fournisseurs de solutions de sécurité recommandent d’exclure le trafic OneDrive des règles de sécurité des entreprises, et ce rapport montre à quel point ils se trompent. »

Le Threat Labs de Netskope recommande aux entreprises d’analyser leur posture de sécurité et préconise plusieurs bonnes pratiques pour neutraliser ces menaces :
● Inspecter la totalité des téléchargements HTTP et HTTPS, y compris l’ensemble du trafic échangé sur le web et dans le cloud afin d’empêcher les logiciels malveillants d’infiltrer le réseau ;
● Vérifier que les fichiers à haut risque (exécutables et archives, par exemple) sont scrupuleusement inspectés en combinant des outils d’analyse statique et dynamique en amont de leur téléchargement.
● Configurer des règles permettant de bloquer les téléchargements et les téléversements à partir d’applications et d’instances qui ne sont pas utilisées dans l’entreprise. L’objectif est de limiter la surface de risque aux seules applications et instances nécessaires à son activité tout en minimisant les risques d’exposition des données par des initiés, que ce soit de façon accidentelle ou délibérée, ou de malveillance par des cyberattaquants.
● Utiliser un système de prévention des intrusions (IPS — Intrusion Prevention System) capable d’identifier et de bloquer les schémas de trafic malveillants tels que les échanges de commande et contrôle (C2) associés aux malwares les plus répandus. Le fait de bloquer ce type de communications peut empêcher des dommages en limitant la capacité des cybercriminels à exécuter des actions supplémentaires.
● Utiliser la technologie d’isolation du navigateur à distance (RBI — Remote Browser Isolation) pour appliquer une ligne de protection supplémentaire lorsqu’il est impératif de visiter un site appartenant à une catégorie susceptible de présenter un risque plus élevé, par exemple un domaine nouvellement observé ou nouvellement enregistré.

Le rapport du Netskope Threat Labs repose sur des données d’utilisation anonymes collectées auprès d’un sous-ensemble de plus de 3 000 clients européens de Netskope qui ont donné leur autorisation préalable pour que leurs données soient analysées de cette manière.


Voir les articles précédents

    

Voir les articles suivants