Pris dans les filets : se dépêtrer du bourbier des anciennes et des nouvelles menaces

Lorsque nous revenons sur les problèmes majeurs de 2018, nous constatons une évolution des stratégies cybercriminelles et des menaces persistantes de sécurité.
  • Menaces liées à la messagerie électronique
  • Ransomware
  • Vulnérabilités critiques
  • Attaques IoT
  • Recherche Trend Micro
  • Panorama des menaces
  • Téléchargement au format PDF

En 2018, un cocktail d’anciennes et de nouvelles menaces de cybersécurité a inondé les entreprises. Des chercheurs ont découvert que presque tous les ordinateurs en fonctionnement présentaient de graves défaillances matérielles et des problèmes de ransomware persistants. Ils ont notamment constaté la continuation et la diversification de l’extraction non autorisée de crypto-monnaies, en plus de l’apparition de nouvelles attaques efficaces sur les appareils domestiques connectés. De plus, face à un écosystème de système d'exploitation et des dispositifs en expansion, les cybercriminels ont mis de côté les attaques basées sur les kits d’exploits pour adopter une tactique qui, bien qu’ancienne, se révèle très efficace : l’ingénierie sociale. Les kits d’exploits et les méthodes automatisées se montraient efficaces lorsqu’un grand nombre d’utilisateurs utilisaient des logiciels vulnérables. Cependant, en 2018, nombre des auteurs de menaces ont tenté d’exploiter les vulnérabilités humaines. 

Notre rapport annuel de sécurité se penche sur ces problèmes et d’autres liés à la sécurité, en fournissant aux entreprises et aux utilisateurs des renseignements précieux pour les aider à prendre conscience des menaces critiques et à s’y préparer.

. . .

Menaces liées à la messagerie électronique

Étant un moyen de communication important au sein du réseau d’une entreprise, la messagerie électronique professionnelle constitue une plateforme attrayante pour les cybercriminels. Par conséquent, le phishing et d’autres techniques d’ingénierie sociale figurent parmi les principaux objectifs des professionnels de la cybersécurité, dans la mesure où les courriers électroniques indésirables conçus et formulés de façon professionnelle peuvent facilement tromper un destinataire qui reçoit régulièrement des courriers similaires.  

En 2018, nous avons constaté une augmentation de l’utilisation de diverses formes de menaces liées à la messagerie. Par rapport à l’année précédente, nous avons notamment observé une augmentation de 82 % des accès bloqués aux URL de phishing par adresse IP unique du client. En règle générale, le phishing arrive par courrier électronique, les menaces par email étant moins dépendantes de la plateforme que d’autres types d’attaques qui reposent, par exemple sur des exploits spécifiques.

2017
11 340 408
2018
20 617 181

Comparaison d’une année à l’autre des accès bloqués aux URL de phishing par adresse IP unique du client (p. ex., un ordinateur ayant accédé à un lien à trois reprises n’est compté qu’une fois)

Récemment, outre les courriers électroniques, des attaques de phishing utilisant la messagerie instantanée, les SMS et d’autres méthodes de communication ont également eu lieu. L’augmentation du nombre d’attaques de phishing, ainsi que de leurs différentes versions, démontre la capacité d’adaptation des cybercriminels à un paysage changeant. La prolifération des dispositifs connectés et un panel plus large de systèmes d’exploitation impliquent que cibler un système d’exploitation en particulier ne sera plus aussi rentable pour les cybercriminels. C’est pourquoi ils reviennent vers une technique d’attaque plus ancienne, mais qui a fait ses preuves.

28%
2017-2018

En 2018, l’usurpation d’identité par email a également pris de l’ampleur. Dans le cadre de ce type d’attaque, un criminel initie ou intercepte des communications avec un employé de l’entreprise qui a l’autorisation de libérer ou de transférer des fonds.


  • PDG

  • Directeur général/Directeur

  • Président

  • Responsable général/Responsable

  • Directeur exécutif

  • Autres

Principales fonctions usurpées

Bien que le nombre total de ces attaques soit faible, une tentative réussie pourrait entraîner des pertes financières considérables pour l’entreprise ciblée. En revanche, les attaques de phishing ont été lancées en grand nombre sur des victimes potentielles, car même un faible pourcentage d’attaques peut s’avérer rentable pour les criminels.

. . .

Ransomware

Dans l’ensemble, les menaces liées aux ransomwares ont diminué de 91 % entre 2017 et 2018, et le nombre de familles de ransomwares découvertes a également diminué pendant cette période. Cette baisse constante s’inscrit dans la lignée que nous avons notée dans notre rapport semestriel. Ce repli pourrait être attribué à l’amélioration des solutions antiransomware, à une meilleure sensibilisation à la menace et, dans une certaine mesure, à l’inutilité presque avérée d’une négociation avec les assaillants.

2017
631 128 278
2018
55 470 005

Menaces liées aux ransomwares

2017
327
2018
222

Nouvelles familles de ransomware

Toutefois, comme les profits générés par les assaillants l’emportent sur les efforts nécessaires à l'éxécution des attaques, les ransomwares continuent d’être utilisés. Le nombre de détections de WannaCry, la famille à l’origine de l’épidémie notoire de ransomware en mai 2017, étaient stable (616 399) et ont considérablement masqué celles des autres familles.

Quant à l’extraction de crypto-monnaie, ce type d’attaque a atteint un nouveau sommet en 2018, avec plus de 1,3 million de détections, soit une hausse de 237 % par rapport à l’année précédente. 

1,350,951
2018
400,873
2017

Détections d’extractions de crypto-monnaie

Outre l’augmentation du nombre de détections, nous avons également observé une véritable envolée des méthodes d’attaque par extraction de crypto-monnaie tout au long de l’année : plateformes publicitaires pénétrantes, fenêtres publicitaires, extension de navigateur malveillante, téléphones mobiles, botnets, bundle avec des logiciels légitimes, kits d’exploits et ransomware reformatés

819 %
des menaces sans fichier
Août 2017 – Décembre 2018

L’une des méthodes d’attaque utilisées pour échapper aux techniques traditionnelles de listes noires a également fait sa réapparition : les menaces sans fichier. Ces menaces particulières tentent d’échapper aux protections classiques et ne peuvent généralement être détectées que par d’autres moyens, tels que la surveillance du trafic, les indicateurs de comportement ou le sandboxing.

. . .

Vulnérabilités critiques

L’année de la sécurité a commencé avec la révélation de Meltdown et de Spectre, des vulnérabilités qui reposent sur des failles dans l’exécution spéculative des instructions du processeur. Ces nouvelles catégories de failles touchaient différents microprocesseurs et provoquaient aussi bien des nouvelles attaques que des problèmes d’atténuation. Et même à la fin de l’année, aucune solution simple n’a été trouvée pour pallier ces faiblesses micro-architecturales.

Autre fléau de 2018 : Kubernetes, une vulnérabilité critique dans le logiciel orchestration du cloud open source. Heureusement, cette faille a rapidement été corrigée.

La plupart des vulnérabilités sont découvertes, puis révélées de façon responsable par des chercheurs en sécurité et des fournisseurs, de sorte qu’elles ne puissent pas être utilisées. Cependant, la divulgation publique d'une vulnérabilité alerte les auteurs de la menace : il est donc primordial de créer un correctif au préalable. Les acteurs de menaces exploitent activement les vulnérabilités afin de créer des exploits opérationnels.

Récemment, aucune menace « Zero-day » étendue n’a été identifiée, contrairement aux années précédentes, lors desquelles deux ou trois attaquent majeures survenaient en un an. La portée des attaques décelées en 2018 s’est révélée plutôt limitée. En outre, les cybercriminels ont exploité des vulnérabilités disposant déjà d'un patch, en partant du principe que de nombreux utilisateurs tardent à appliquer les correctifs disponibles, et ne les appliquent parfois jamais. 

*Passez le curseur de la souris sur la date de l’attaque

*Cliquez pour passer à la date de l’attaque

Vulnérabilité Drupal utilisée pour implanter des programmes d’extraction de crypto-monnaie

CVE-2018-7602
DATE DU CORRECTIF :
25 avril 2018

DATE DE L’ATTAQUE :
5 heures après la publication du correctif

Vulnérabilités Apache CouchDB utilisées pour implanter des programmes d’extraction de crypto-monnaie

CVE-2017-12635,
CVE-2017-12636
DATE DU CORRECTIF :
14 novembre 2017

DATE DE L’ATTAQUE :
15 février 2018
3 mois plus tard

Vulnérabilité Oracle WebLogic WLS-WSAT utilisée pour l’extraction de crypto-monnaie

CVE-2017-10271
DATE DU CORRECTIF :
16 octobre 2017

DATE DE L’ATTAQUE :
26 février 2018
4 mois plus tard

Vulnérabilité qui permet l’intégration permanente de téléphones Android utilisés dans AndroRat

CVE-2015-1805
DATE DU CORRECTIF :
16 mars 2016

DATE DE L’ATTAQUE :
13 février 2018
23 mois plus tard

Attaques majeures en 2018 impliquant des exploitations de vulnérabilités connues et corrigées

Parmi les vulnérabilités découvertes en 2018, un pourcentage considérable concernait des logiciels utilisés dans des systèmes de contrôle industriels (ICS). La plupart de ces vulnérabilités se trouvaient dans les logiciels d’interface homme-machine des ICS et des environnements de contrôle et d’acquisition des données (SCADA). L’interface homme-machine représente le principal centre de surveillance, de gestion et de mise en œuvre des états des différents processus au sein des installations. L’exploitation d’une vulnérabilité critique pourrait alors permettre à un assaillant d’influencer les fonctionnalités des composants physiques de l’installation d’une entreprise. 

. . .

Attaques IoT

Les attaques via routeur se sont poursuivies sans relâche, malgré les condamnations des créateurs de Mirai et Satori. En 2018, nous avons constaté que le code Mirai recyclé continuait d’être utilisé contre des routeurs. Et VPNFilter, une autre forme de logiciel malveillant via routeur, a été mis à jour avec des fonctionnalités supplémentaires, telles que des composants de reconnaissance et de persistance, qui ont conduit à l’abus des routeurs au-delà du déni de service distribué (DDoS). De plus, nous avons constaté que des routeurs étaient utilisés lors d’attaques d’extraction de crypto-monnaie et pharming, venant renforcer la tendance au renforcement des fonctionnalités que nous avons notée dans notre rapport semestriel.

L’année 2018 a été marquée par deux attaques de ce type :


  1. Cryptojacking

    Les criminels ont exploité une faille de sécurité corrigée dans les routeurs MikroTik au Brésil et ont injecté un script Coinhive malveillant en vue d’un crypto-minage de Monero.


  2. Redirection malveillante

    Le kit d’exploits Novidade pouvait modifier les paramètres DNS du routeur, de sorte qu’un utilisateur non averti puisse être redirigé vers de fausses pages contrôlées par l’assaillant.

Alors que de plus en plus d’appareils intelligents sont connectés à l’Internet des objets (IoT), leurs propriétaires deviennent donc des « administrateurs de réseau résidentiel intelligent ». Par conséquent, ils doivent veiller à ce que leurs routeurs ne deviennent pas une porte d’entrée pour les assaillants. Étant donné que les routeurs sont des hubs qui gèrent les connexions vers et depuis les différents périphériques accédant à Internet, leur sécurisation devient d'autant plus critique.

. . .

Recherche Trend Micro


Solutions Machine Learning

  • Ahead of the Curve: A Deeper Understanding of Network Threats Through Machine Learning
  • Adversarial Sample Generation: Making Machine Learning Systems Robust for Security
  • Uncovering Unknown Threats With Human-Readable Machine Learning

Hôpitaux connectés, fournisseurs d'énergie, sociétés de distribution d'eau

  • Exposed and Vulnerable Critical Infrastructure: Water and Energy Industries
  • The Fragility of Industrial IoT’s Data Backbone
  • Securing Connected Hospitals: A Research on Exposed Medical Systems and Supply Chain Risks

Enquêtes sur les cybercriminels et démantèlements

  • The Rise and Fall of Scan4You
  • The Evolution of Cybercrime and Cyberdefense

. . .

Panorama des menaces

48387151118

Menaces bloquées au total en 2018

Profils de menaces bloquéesPremier semestre 20182e semestre 2018Total 2018
Menaces liées à la messagerie électronique16 997 711 54724 521 948 29741 519 659 844
Fichiers malveillants2 956 153 1122 867 738 6535 823 891 765
URL malveillantes534 534 550509 064 9591 043 599 509
Menaces globales20 488 399 20927 898 751 90948 387 151 118

Comparaison semestrielle des menaces par e-mail, fichier et URL bloquées


AnnéeFamille WannaCryAutres familles de ransomwares
2017321 814244 716
2018616 399126 518

Comparaison d’une année à l’autre des détections de WannaCry par rapport aux autres ransomwares combinés



Comparaison mensuelle des détections de menaces sans fichier


  •  
  • 147 %
  • 33 %
  • 35 %
  • 38 %
  • 94 %
  • 27 %

Comparaison d’une année à l’autre des vulnérabilités des fournisseurs de logiciels sélectionnés

Pour en savoir plus sur les temps forts de la cybersécurité en 2018, téléchargez notre rapport annuel de sécurité.

. . .

TÉLÉCHARGER LE RAPPORT COMPLET

. . .
HIDE

Like it? Add this infographic to your site:
1. Click on the box below.   2. Press Ctrl+A to select all.   3. Press Ctrl+C to copy.   4. Paste the code into your page (Ctrl+V).

Image will appear the same size as you see above.