DarkSide a lancé une série d'attaques très médiatisées, dont l'incident Colonial Pipeline.
Il a également mis à jour sa technique activement, par exemple une variante DarkSide Linux ciblant les serveurs VMware ESXi.
Des attaques de toutes parts: Des attaques de toutes parts Rapport semestriel sur la sécurité 2021
Téléchargez Des attaques de toutes parts : Rapport semestriel sur la cybersécurité 2021
Au cours du premier semestre de cette année, les bastions de cybersécurité étaient encerclés par des cybercriminels prêts à bondir sur la moindre faille dans les défenses, pour ravager des biens de valeur.
Des menaces et des risques de toutes parts se sont rapidement rapprochés, accompagnés de tactiques mises à jour et d'une motivation supérieure à affecter les industries ciblées. Ces problèmes de sécurité incluent des attaques par ransomware modernes très en vue, des campagnes actives, des vulnérabilités critiques, des escroqueries liées à la Covid-19 et d'autres menaces, sans parler des menaces en évolution dans le cloud et dans l'Internet des objets (IdO).
Nous enquêtons sur ces problèmes dans notre rapport de synthèse semestriel, « Des attaques de toutes parts : Rapport semestriel sur la cybersécurité 2021. »
Pour mieux préparer l'avenir, nous allons retracer nos pas tout au long de l'année, dans le contexte volatile de la cybersécurité.
Par où voudriez-vous commencer ?
01
Ransomwares
Les ransomware ont continué d'évoluer au rang de l'une des cybermenaces les plus dangereuses, amassant plus de 7 millions de détections combinées de menaces par email, URL et fichiers. Les acteurs malveillants ont évolué de manière rapide et agressive, avec des attaques contre des secteurs critiques tels que la banque, le gouvernement et la fabrication.
Banque
Gouvernement
Fabrication
Santé
Agroalimentaire
Les cinq principaux secteurs touchés par les ransomware au premier semestre 2021
Certaines des stratégies des opérateurs, telles que leur propension à cibler des industries cruciales, sont restées constantes, mais nombre de leurs tactiques ont évolué de manière drastique et rapide. Des variantes importantes de ransomware ont fait monter les enchères, les nouvelles familles aggravant les risques. Certains acteurs malveillants ont rapidement saisi l'occasion et se sont fait passer pour des gangs de ransomware, comme dans le cas d'une fausse campagne DarkSide.
Familles de ransomware notables
DarkSide
REvil
(alias Sodinokibi)
REvil a été utilisé lors d'une récente attaque contre JBS, géant de la viande.
Au cours du premier semestre 2021, les détections de fichiers Trend Micro pour REvil ont également plus que doublé par rapport à la même période l'année dernière.
Bonjour
Bonjour, une nouvelle variante de ransomware exploite la vulnérabilité Microsoft SharePoint CVE-2019-0604.
Nous avons également constaté qu'elle déployait le shell Web China Chopper pour exécuter des commandes PowerShell.
De tels incidents ont suscité des discussions sur les questions délicates du paiement des rançons, de la cyber-assurance et de la législation potentielle. Les autorités et les chercheurs en sécurité ont également déployé des efforts agressifs pour éliminer les gangs de ransomware, ce qui a conduit à une série d'arrestations très médiatisées, comme dans le cas des opérateurs Egregor et Clop.
Techniques raffinées
Les opérateurs de ransomware ont étendu leur utilisation d'outils légitimes. Ils ont également fait monter les enjeux de leurs techniques d'extorsion, du chiffrement à l'exposition des données volées, en passant par l'intégration d'attaques par déni de service distribué (DDoS) et par le harcèlement direct des clients et des parties prenantes des organisations victimes.
Techniques de multi-extorsion des ransomware
02
Menaces persistantes avancées
Les menaces persistantes avancées ont également été actives, puisque plusieurs campagnes ont été lancées au cours du premier semestre de cette année.
Les groupes de menaces derrière ces menaces persistantes avancées brandissaient à la fois des techniques éprouvées et des tactiques innovantes. Les premières comprenaient l'utilisation d'emails et de scripts malveillants de spear phishing, tandis que les deuxièmes impliquaient de nouvelles plates-formes légitimes, des variantes de malware et des outils d'accès à distance (RAT, remote access tools) tels que le chargeur PlugX.
Menaces persistantes avancées notables
TeamTNT
TeamTNT est à nouveau à l'œuvre, en ciblant cette fois les informations d'identification Amazon Web Services (AWS) et les clusters Kubernetes. Ces attaques sont également liées à l'extraction de crypto-monnaie.
Pour celle-ci, la Chine et les États-Unis comptent le plus grand nombre d'adresses IP compromises.
Water Pamola
Nous avons remarqué quelques changements dans la tactique de Water Pamola. Il s'agit notamment d'une concentration principale sur des cibles au Japon. De plus, au lieu de passer par le spam, certaines attaques sont lancées en exploitant une vulnérabilité de cross-site scripting (XSS) dans le portail d'administration en ligne d'un magasin.
Earth Vetala
Earth Vetala – MuddyWater a lancé des campagnes contre des organisations au Moyen-Orient et dans les régions environnantes. L'attaque a profité d'outils d'administration à distance légitimes, tels que ScreenConnect et RemoteUtilities, pour distribuer des charges utiles.
Iron Tiger
Iron Tiger, connu pour cibler les sociétés de jeux d'argent et de hasard en Asie du Sud-Est, a mis à jour sa boîte à outils avec une variante du malware SysUpdate évoluée. De plus, le groupe utilise désormais cinq fichiers (au lieu de trois) dans sa routine d'infection.
Earth Wendigo
Trend Micro a découvert une menace persistante avancée qui ciblait des organisations à Taïwan depuis 2019. Nous avons surnommé ces acteurs malveillants Earth Wendigo. Les attaques utilisent des emails de spear phishing avec du code JavaScript malveillant injecté sur un système de messagerie Web largement utilisé.
Menaces persistantes avancées notables au cours du premier semestre 2021
Le flux d'attaque de l'opération d'Earth Wendigo
03
Vulnérabilités
Des vulnérabilités notables ont fait la une des journaux, tandis que les chercheurs se dépêchaient de corriger les systèmes affectés avant que ces failles ne présentent des dangers et ne perturbent les configurations de travail, y compris celles à distance.
ProxyLogon
Un incident de piratage informatique, attribué au groupe Hafnium, a permis l'exploitation de quatre vulnérabilités zero-day dans les versions sur site de Microsoft Exchange Server. Ces vulnérabilités sont CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065, collectivement appelées ProxyLogon.
Vulnérabilités Microsoft SharePoint
Cinq vulnérabilités notables d'exécution de code à distance (RCE, remote code execution) ont également affecté Microsoft SharePoint, une plate-forme de gestion et de stockage de documents en ligne qui peut également être utilisée dans des configurations de travail à distance.
| CVE-2021-24066 | Désérialisation du flux de travail des données non fiables - Vulnérabilité d'exécution de code à distance |
| CVE-2021-27076 | Désérialisation de la liste InfoPath des données non fiables - Vulnérabilité d'exécution de code à distance |
| CVE-2021-31181 | Conflit d'interprétation WebPart - Vulnérabilité d'exécution de code à distance |
| CVE-2021-28474 | Conflit d'interprétation du contrôle côté serveur - Vulnérabilité d'exécution de code à distance |
| CVE-2021-26420 | Fonction dangereuse exposée WorkflowCompilerInternal - Vulnérabilité d'exécution de code à distance |
Vulnérabilités Microsoft SharePoint RCE pour le premier semestre 2021
Vulnérabilités VPN
Face à la persistance des configurations de télétravail (WFH, work-from-home), les réseaux privés virtuels (VPN) restent un outil essentiel pour assurer la sécurité. Les détections de ces vulnérabilités ont continué de proliférer, avec quelques pics par rapport à la même période l'année dernière.
Fortinet | Pulse Secure | Citrix Systems | |||||
CVE-2018-13379 | CVE-2019-11510 | CVE-2019-11539 | CVE-2019-19781 | ||||
2020 | Janv. | 15,834 | 88,506 | 9 | | 856 | 287 |
| Févr. | 9,864 | 66,164 | 12 | | 52 | 19 |
| Mars | 14,910 | 63,716 | 115 | | 118 | 18 |
| Avr. | 18,312 | 62,862 | 69 | | 2,703 | 1 |
| Mai | 20,897 | 60,791 | 60 | | 2,921 | 7 |
| Juin | 27,110 | 39,994 | 123 | | 2,783 | 5 |
2021 | Janv. | 113,330 | 45,937 | 787 | | 1,388 | 3 |
| Févr. | 77,853 | 15,627 | 488 | | 579 | 761 |
| Mars | 75,785 | 27,876 | 566 | 1 | 713 | 158 |
| Avr. | 68,651 | 21,440 | 956 | | 988 | 5 |
| Mai | 70,083 | 15,230 | 508 | | 650 | 5 |
| Juin | 61,467 | 9,558 | 301 | 11 | 418 | 15 |
Détections de vulnérabilités VPN pour le premier semestre 2020 et le premier semestre 2021
PrintNightmare
« PrintNightmare » est le nom attribué à CVE-2021-1675, une vulnérabilité critique du spouleur d'impression Windows qui permet l'exécution de code arbitraire avec des privilèges au niveau du système. La fuite accidentelle d'un code d'exploit de preuve de concept a déclenché une course contre la montre, visant à corriger cette vulnérabilité le plus rapidement possible.
Dans l'ensemble, le nombre de détections de vulnérabilités a légèrement diminué, avec une baisse notable des vulnérabilités critiques.
| Gravité | Nombre au 1er semestre 2021 | Nombre au 1er semestre 2020 |
| Critique | 16 | 121 |
| Élevée | 553 | 547 |
| Moyenne | 107 | 76 |
| Faible | 94 | 42 |
| Total | 770 | 786 |
Comparaison semestrielle de la répartition de la gravité, basée sur le CVSS des vulnérabilités divulguées via notre programme Zero Day Initiative (ZDI).
Source : Programme ZDI de Trend Micro
04
Escroqueries et autres menaces liées à la Covid-19
Même en pleine pandémie, les affaires continuent pour de nombreux acteurs malveillants, qui recherchent toujours de nouvelles menaces ou affinent les actuelles. Certains cybercriminels ont directement profité de la pandémie, utilisant l'incertitude et la détresse provoquées par la situation comme des munitions d'ingénierie sociale pour élaborer leurs escroqueries.
Menaces liées à la Covid-19
Alors que le déploiement des programmes de vaccination se poursuit dans le monde, les menaces liées aux vaccins contre la Covid-19 prolifèrent elles aussi. Celles-ci impliquent des fichiers malveillants, des emails, des SMS, des sites de désinformation et des pages de phishing. Les cibles habituelles sont les secteurs des télécommunications, de la banque, du commerce de détail, du gouvernement et de la finance.
États-Unis
Allemagne
Colombie
Italie
Espagne
Autres
Les principaux pays touchés par les menaces liées à la Covid-19 au premier semestre 2021
Menaces actives
XCSSET
XCSSET cible les utilisateurs Mac et infecte les projets Xcode. Il y a quelques mois, les acteurs malveillants ont mis à jour XCSSET avec des fonctionnalités qui lui permettent de s'adapter aux Mac ARM64 et x86_x64. Le malware a également acquis la capacité à collecter des informations sensibles sur certains sites Web, y compris les plateformes de trading de crypto-monnaie.
PandaStealer
PandaStealer est un nouveau voleur d'informations qui peut collecter des informations sensibles telles que des clés privées et des enregistrements de transactions passées à partir des portefeuilles de devises numériques d'une cible. Il peut également collecter les informations d'identification dans d'autres applications, prendre des captures d'écran et exfiltrer les données des navigateurs. Il se propage principalement via des emails de spam demandant des devis commerciaux.
05
Le cloud et l'Internet des objets (IdO)
Les circonstances provoquées par la pandémie ont catalysé l'adoption de systèmes en ligne alimentés par des technologies telles que le cloud et l'IdO. Cependant, ces domaines comportent leurs propres ensembles de menaces et de risques.
Cloud
Certaines menaces importantes cette année incluent les attaques TeamTNT. Au début de l'année, nous avons découvert que les acteurs malveillants derrière TeamTNT ciblaient certains systèmes cloud :
- Informations d'identification AWS. TeamTNT a volé des informations d'identification AWS via un binaire contenant un script shell codé en dur. Plus de 4 000 instances ont été compromises.
- Clusters Kubernetes. TeamTNT a compromis des clusters Kubernetes un peu partout. Près de 50 000 adresses IP ont été affectées sur plusieurs clusters.
L'IdO
Nous avons découvert des risques dans plusieurs facettes de l'IdO, notamment le réseau WAN à longue portée (LoRaWAN), la 5G et les routeurs.
LoRaWAN
Bien qu'utiles dans les entreprises et les villes intelligentes, les appareils LoRaWAN ne sont pas à l'abri des compromis. Après avoir détecté des vulnérabilités exploitables dans ces appareils, nous avons créé l'outil LoRaPWN qui permet d'évaluer la sécurité des communications LoRaWAN.
5G
La mise en place de réseaux de campus 4G/5G pour les entreprises comporte des risques. Pour étudier ces dangers, nous avons identifié plusieurs scénarios d'attaque, notamment le piratage DNS, le piratage MQTT, le piratage Modbus/TCP, le téléchargement ou la réinitialisation d'automates programmables (PLC, programmable logic controller) non protégés, le bureau à distance et l'échange de SIM.
Routeurs
Les routeurs ont toujours été en proie à des problèmes de sécurité. Nous avons analysé les infections de routeur et trouvé VPNFilter, un botnet IdO représentant l'une des menaces les plus importantes. Pour compromettre les routeurs et les périphériques de stockage, VPNFilter utilise des comptes de porte dérobée et divers exploits.
06
Contexte
actuel des menaces
40,956,909,973
Nombre total de menaces bloquées pour le premier semestre 2021
Menaces par email bloquées
1er
trimestre
trimestre
2e
trimestre
trimestre
Fichiers malveillants bloqués
1er
trimestre
trimestre
2e
trimestre
trimestre
URL malveillantes bloquées
1er trimestre
2e trimestre
Demandes liées à la réputation d'emails
1er
trimestre
trimestre
2e
trimestre
trimestre
Demandes liées à la réputation de fichiers
1er
trimestre
trimestre
2e
trimestre
trimestre
Demandes liées à la réputation d'URL
1er trimestre
2e trimestre
Téléchargez notre rapport complet pour mieux comprendre les cybermenaces et les risques urgents qui ont sévi au premier semestre 2021, et pour en savoir plus sur nos recommandations d'experts en matière de sécurité pour les utilisateurs et les entreprises.
HIDE
Like it? Add this infographic to your site:
1. Click on the box below. 2. Press Ctrl+A to select all. 3. Press Ctrl+C to copy. 4. Paste the code into your page (Ctrl+V).
Image will appear the same size as you see above.
MQTT and M2M: Do You Know Who Owns Your Machine’s Data?
Building Resilience: 2024 Security Predictions for the Cloud
Rise in Active RaaS Groups Parallel Growing Victim Counts: Ransomware in 2H 2023
Mitigating the Threat of Sidecar Container Injection