Un état de flux constant: Rapport annuel sur la cybersécurité Trend Micro 2020

23 février 2021
X


Un état de flux constant
Rapport annuel sur la cybersécurité Trend Micro 2020

2 Téléchargez Un état de flux constant : Rapport annuel sur la cybersécurité Trend Micro 2020


2020 a été l'année qui a bloqué les organisations et testé leurs limites dans de nombreux aspects. Des incidents de grande importance, le passage au télétravail et d'autres changements majeurs par rapport aux situations habituelles ont suscité une nouvelle prise de conscience et une réévaluation dans les organisations. Les défis qu'elles ont rencontrés ont ouvert la voie à des solutions adaptatives et alternatives qui prennent en compte les points de vue aussi bien humain que technologique.

Du côté des cybercriminels, l'année a été une source de nombreuses possibilités d'activités malveillantes. Ils ont profité des événements majeurs pour réaliser des profits illicites. En utilisant des techniques anciennes et nouvelles, ils ont exploité des vulnérabilités, des erreurs de configuration et d'autres failles de sécurité alors que les particuliers et les entreprises se dépêchaient d'adopter des technologies pour s'adapter aux défis rencontrés.

Notre rapport annuel sur la cybersécurité se retourne sur une année sans précédent et étudie les problèmes de sécurité les plus notables et cruciaux qui ont émergé et persisté en 2020. Il fournit aux utilisateurs et aux organisations des informations sur la façon dont ils peuvent avancer dans un contexte de menaces en constante évolution.





Attaques ciblées

Quelles industries ont été les plus durement touchées par les attaques de ransomware ?
Gouvernement, banque, fabrication et santé ont comptabilisé près de 90 000 détections.

Quel a été le principal ransomware en termes de détections ?
WannaCry a comptabilisé le plus grand nombre de détections : 220,166.

Ryuk a été le plus actif en octobre, avec plus de 2 000 détections, après cinq mois d'inactivité d'avril à août.
Egregor et DoppelPaymer, deux familles de ransomwares relativement nouvelles, se sont classées parmi les 10 premiers en termes de détections.

Ransomwares








Les opérateurs de ransomwares ont maximisé leurs flux de profits avec un double coup dur. En plus d'exiger de l'argent pour restaurer l'accès de leurs victimes aux données chiffrées (et même d'augmenter la rançon si le paiement était en retard), ils ont menacé de diffuser des informations sensibles si les victimes ne payaient pas. Face au risque d'exposition publique, les organisations victimes ont été confrontées à la possibilité de subir une atteinte à leur réputation ainsi qu'une perte de données. Le caractère essentiel des fonctions des cibles fréquentes des attaques de ransomwares, notamment les agences et entreprises des secteurs du gouvernement, de la banque, de la fabrication et de la santé, n'a fait qu'accroître l'urgence de céder aux demandes des opérateurs de ransomwares.

95
127
2019
2020

Comparaison du nombre de nouvelles familles de ransomwares en 2019 et 2020

Gouvernement
31,906
Banque
22,082
Fabrication
17,071
Santé
15,701
Finance
4,917
Éducation
4,578
Technologie
4,216
Agroalimentaire
3,702
Pétrole et gaz
2,281
Assurance
2,002

Les 10 secteurs les plus ciblés par des attaques de ransomwares en 2020

Le petit dernier Egregor, qui a fait ses premiers pas dans les derniers mois de l'année, a notamment utilisé la technique de la double extorsion en s'attaquant à des cibles de premier plan, notamment de grandes organisations du commerce de détail, des jeux et des ressources humaines.

La technique de double extorsion utilisée par Egregor

Attaques de chaîne d'approvisionnement





Les organisations ont peut-être amélioré leur sécurité, mais les acteurs malveillants pouvaient toujours trouver des moyens d'accéder à leurs systèmes en compromettant leurs partenaires au sein de leurs chaînes d'approvisionnement. En tirant parti de la relation et de la confiance établies entre une organisation cible et ses partenaires, les attaquants de la chaîne d'approvisionnement pouvaient pénétrer dans les systèmes de l'organisation.

L'une des attaques de chaîne d'approvisionnement les plus médiatisées récemment a été découverte en décembre sous la forme de l'attaque impliquant Orion, un logiciel de système de gestion de réseau très répandu, développé par SolarWinds. Les acteurs malveillants responsables de l'attaque ont inséré une vulnérabilité dans certaines versions d'Orion qui pouvaient permettre aux attaquants de compromettre les serveurs exécutant le logiciel. Une fois la mise à jour pertinente envoyée aux clients, les attaquants ont pu déployer des portes dérobées qui leur ont donné un accès complet aux réseaux concernés et leur ont permis d'effectuer diverses activités malveillantes. Compte tenu de la nature de certaines des cibles, y compris les principales agences gouvernementales des États-Unis, l'attaque pourrait avoir de lourdes conséquences.





Menaces liées à la pandémie

Combien de menaces détectées étaient liées à la COVID-19 ?
Plus de 16 millions de menaces liées à la COVID-19 ont été détectées.

Quel type de menace constituait la majorité des détections liées à la COVID-19 ?
Près de 90 % des menaces détectées liées à la COVID-19 étaient du spam malveillant.

Bien que relativement nouvelle, la vulnérabilité VPN CVE-2019-11510 a représenté près de 800 000 détections rien qu'en 2020.
Plus de 60 % des détections de menaces liées à la COVID-19 provenaient des États-Unis, de l'Allemagne et de la France.

Arnaques liées à la COVID-19








Alors que la COVID-19 continuait de décimer des vies à travers le monde, des acteurs malveillants ont profité de la maladie et de l'incertitude provoquée par la pandémie pour faire avancer leurs projets illicites. La grande majorité de nos détections de menaces sur le thème de la COVID-19 se sont présentées sous la forme de spams malveillants, y compris des emails de phishing d'informations personnelles et financières. La plupart provenaient des États-Unis, d'Allemagne et de France, qui figuraient également parmi les pays les plus durement touchés par la pandémie. Les escrocs derrière ces menaces leur ont donné un sentiment d'actualité et d'urgence en les personnalisant avec des références à des préoccupations pertinentes, telles que les programmes de relance suite à la COVID-19 et les déploiements de vaccins. Les escrocs d'usurpation d'identité par email ont également misé sur la pandémie : Les lignes d'objet de la plupart des échantillons d'usurpation d'identité par email que nous avons détectés mentionnaient la COVID-19.


88,5 % - Spams

11,3 % - URL

0,2 % - Malware

TOTAL : 16,393,564

La répartition des détections de menaces liées à la COVID-19 en 2020 par type


38,4 % - États-Unis

14,6 % - Allemagne

9,2 % - France

4,7 % - Australie

4,1 % - Royaume-Uni

29,0 % - Autres

TOTAL : 16,393,564

La répartition des détections de menaces liées à la COVID-19 en 2020 par pays

Les défis du travail à distance






Alors que les organisations ont mis en œuvre des accords de travail à distance en réponse à la pandémie, les réseaux privés virtuels (VPN) sont devenus des outils précieux pour protéger les connexions réseau contre les menaces externes. Mais comme tout logiciel, les solutions VPN pouvaient également héberger des vulnérabilités, qui, si elles étaient exploitées, permettaient aux attaquants de voler des informations propriétaires et de surveiller les systèmes de leurs cibles. Une vulnérabilité VPN, CVE-2019-11510, a représenté près de 800 000 détections rien qu'en 2020 et a été impliquée dans des attaques en 2020 où elle a été exploitée pour livrer des ransomwares. Les acteurs malveillants ont également trouvé d'autres moyens d'incorporer des VPN dans leurs attaques : en septembre, nous avons découvert une instance où un attaquant avait associé un programme d'installation VPN à la porte dérobée Bladabindi, qui pouvait être utilisée pour recueillir des informations sur les machines infectées.

L'essor du télétravail s'est également traduit par une augmentation de l'utilisation d'outils de communication tels que Zoom, Slack et Discord. Cela a conduit, à son tour, à une augmentation des attaques qui ont abusé de ces applications : des canulars « Zoombombing » et des programmes d'installation Zoom malveillants à une variante de ransomware qui a utilisé des webhooks Slack et une campagne de spams qui utilisait Discord pour diffuser des malwares.

413,641
784,063
130
21,652
CVE-2018-13379
CVE-2019-11510
CVE-2019-11539
CVE-2019-19781

Le nombre de détections de vulnérabilités VPN notables en 2020





Risques liés au cloud et à l'IoT

Quelle a été la méthode la plus couramment utilisée dans les attaques IoT ?
La grande majorité des attaques entrantes et sortantes ont utilisé la connexion par force brute.

Quels services basés sur le cloud sont proposés sur le marché clandestin ?
Les services basés sur le cloud offerts sur le marché clandestin vont de simples services d'hébergement dédiés à des offres de niche comme les espaces de travail mobiles.

Le malware botnet Mirai a créé de nouvelles variantes qui exploitent les vulnérabilités d'injection de commande et d'injection de code à distance.
Les ensembles de données vendus sur le marché souterrain contiennent généralement des informations personnellement identifiables et des informations d'identification d'utilisateurs pour divers services cloud.

Menaces cloud






En 2020, le cloud est devenu une composante encore plus intégrante des opérations de nombreuses organisations. Mais la bonne configuration des actifs et des services cloud est restée difficile. En avril, par exemple, il a été signalé que des attaquants avaient déposé des programmes d’extraction de crypto-monnaie sur des ports API du démon Docker mal configurés via le malware Kinsing. En octobre, nous avons signalé une attaque contre des API Docker exposées qui impliquait l'utilisation du shellcode Metasploit Framework (MSF) en tant que charge. C'était la première fois que nous observions l'utilisation d'une telle technique.

En 2020, nous avons également publié nos résultats sur la manière dont les acteurs malveillants tirent parti de l'infrastructure cloud clandestine. Sur le marché clandestin, les cybercriminels interagissent régulièrement les uns avec les autres et font des transactions. De temps à autre, ils délèguent des tâches pour des tâches communes, ce qui rend les services clandestins plus pratiques. Certains participants clandestins vendent également l'accès à des données volées, annoncées comme des « nuages de journaux ».

La chaîne d'infection du malware Kinsing

Comment le shellcode MSF a été utilisé pour attaquer les API de conteneur mal configurées

Attaques IoT






Les cybercriminels ont également noté la dépendance croissante des organisations et des employés envers l'Internet des Objets (IoT). Cela devrait être une préoccupation majeure, car les réseaux et appareils résidentiels pourraient être utilisés de manière abusive par des attaquants pour accéder aux réseaux d'entreprise auxquels ils sont connectés. Les routeurs sont particulièrement vulnérables, d'autant plus que la sécurité au domicile d'un collaborateur n'est pas aussi stricte que dans les locaux d'une entreprise.

15.5%
des routeurs ont peut-être été victimes.
5.1%
des routeurs ont peut-être été compromis.

En 2020, nous avons constaté une augmentation du nombre total d'événements d'attaque entrante, qui représentait plus du triple du total de 2019, et du nombre total d'événements d'attaque sortante, qui a presque doublé par rapport à 2019.

929,084,564
2,878,216,479
2019
2020

Comparaison du nombre de détection d'attaques entrantes possibles en 2019 et 2020

99,266,382
196,012,782
2019
2020

Comparaison du nombre de détection d'attaques sortantes possibles en 2019 et 2020

Contexte actuel des menaces

62,637,731,995
menaces bloquées en 2020


57,262,610,930

1er semestre :
25,825,951,753
2e semestre :
31,436,659,177

Menaces par email bloquées

3,698,445,871‬

1er semestre :
1,028,006,974
2e semestre :
2,670,438,897

Fichiers malveillants bloqués

1,676,675,194

1er semestre :
969,254,232
2e semestre :
707,420,962

URL malveillantes bloquées

79,743,156,637‬

1er semestre :
36,271,603,944
2e semestre :
43,471,552,693

Demandes liées à la réputation d'emails

1,523,957,334,514‬

1er semestre :
708,757,638,233
2e semestre :
815,199,696,281

Demandes liées à la réputation de fichiers

2,338,754,688,044

1er semestre :
1,006,547,423,405
2e semestre :
1,332,207,264,639

Demandes liées à la réputation d'URL


Comparaison du nombre de menaces par email, fichier et URL bloquées et de requêtes de réputation par email, fichier et URL au premier et deuxième semestres 2020


59,984,723
35,156,917
2019
2020

Comparaison du nombre d'applications Android malveillantes bloquées en 2019 et 2020

88,121
73,093
2019
2020

Comparaison du nombre de tentatives d'usurpations d'identité par email détectées en 2019 et 2020

Téléchargez notre rapport complet pour en savoir plus sur les problèmes cybersécurité les plus importants de 2020 et les stratégies les plus efficaces contre les menaces actuelles et émergentes.

2 Téléchargez Un état de flux constant : Rapport annuel sur la cybersécurité Trend Micro 2020

HIDE

Like it? Add this infographic to your site:
1. Click on the box below.   2. Press Ctrl+A to select all.   3. Press Ctrl+C to copy.   4. Paste the code into your page (Ctrl+V).

Image will appear the same size as you see above.

Posted in Roundup, Threat Reports, Ransomware, Spam, Vulnerabilities, Internet of Things, Cybersecurity

We Recommend