L’activité des malwares ciblant les crypto-monnaies toujours croissante

0

Les cybercriminels font évoluer leurs méthodes d’attaque pour augmenter leurs chances de succès et accélérer les infections. Si les ransomwares continuent à peser lourdement sur les entreprises, il semble que certains cybercriminels préfèrent désormais détourner des systèmes pour les utiliser à des fins de minage de crypto-monnaies (cryptomining) plutôt que de rançonnage. Ainsi l’affirme le dernier  rapport trimestriel de sécurité Global Threat Landscape Report de Fortinet dont nous vous partageons les principaux enseignements :

Les méthodes d’attaque des cybercriminels sont plus performantes et évolutives

Les chiffres soulignent que les cybercriminels améliorent leur utilisation de malwares et tirent parti des vulnérabilités zero-day les plus récentes pour rendre leurs attaques plus rapides et évolutives. Si le nombre d’exploits détectés par entreprise est en repli de 13% au premier trimestre 2018, le nombre d’exploit unique détecté a, en revanche, progressé de 11%. 73% des entreprises ont subi un exploit de criticité sévère.

  • Le cryptojacking a le vent en poupe : les malwares évoluent et deviennent plus complexes à prévenir ou détecter. La prévalence des malwares de minage de crypto-monnaies a plus que doublé, passant de 13% à 28%. De plus, ce cryptojacking (détournement de ressources de systèmes à des fins de minage) est devenu une tendance de fond au Moyen-Orient, en Amérique Latine et en Afrique. Les malwares de crypto-minage font preuve d’une très grande diversité alors que cette menace est, somme toute, relativement jeune. Les cybercriminels conçoivent des malwares sans fichiers capables d’injecter furtivement du code malveillant au sein des navigateurs. Les outils de minage ciblent de multiples systèmes d’exploitation et utilisent différentes crypto-devises, Bitcoin et Monero notamment. Ils reprennent à leur compte des techniques sophistiquées de propagation et de distribution utilisées par d’autres menaces et tirent les leçons de leurs réussites et échecs pour optimiser leur futur taux de succès.
  • Des attaques ciblées pour un impact maximal : l’impact des malwares virulents est particulièrement élevé, d’autant que ces derniers sont associés à des attaques bien conçues. Pour mieux cibler leurs attaques, les cybercriminels initient leurs exactions par des opérations de reconnaissance d’une entreprise en amont de l’attaque, ce qui optimise le taux de succès. Dans un second temps, une fois présents sur le réseau, les assaillants l’explorent pour décider de quand, comment et où exécuter l’attaque planifiée. Le malware Olympic Destroyer et, plus récemment, le ransomware SamSam illustrent comment les cybercriminels conçoivent leurs attaques dans une optique d’impact majeur et de rentabilité maximale.
  • Le ransomware toujours d’actualité : les ransomwares, plus nombreux et sophistiqués, restent un défi majeur de sécurité pour les entreprises. Ces ransomwares continuent à évoluer, en misant sur l’ingénierie sociale et de nouvelles techniques (attaques menées en plusieurs étapes notamment), dans l’optique de contourner les outils de détection en place et d’infecter les systèmes. Le ransomware GandCrab apparu en janvier fait figure de pionnier puisqu’il utilise Dash en tant que crypto-monnaie pour le paiement des rançons. BlackRuby et SamSam sont également deux variantes de ransomwares particulièrement actives sur le premier trimestre 2018.
  • De multiples vecteurs d’attaque : si les attaques telles que Meltdown et Spectre ont été largement relatées dans les médias durant ce trimestre, les attaques les plus virulentes ont ciblé les équipements mobiles ou des vulnérabilités connues de routeurs ou de technologies Web/Internet. 21% des entreprises ont indiqué avoir été victimes de malwares mobiles (+7%), illustrant le fait que les objets connectés continuent à être sous le feu des menaces. Les cybercriminels privilégient l’exploitation de vulnérabilités connues et non patchées, ainsi que la découverte récente de vulnérabilités zero-day qui constituent autant de nouvelles opportunités. Microsoft reste la principale cible des exploits, tandis que les routeurs se hissent à la seconde place en termes de volume d’attaques. Les systèmes de gestion de contenus (CMS) et les technologies orientées Web ont également été particulièrement ciblées.
  • Aller au-delà du patching : le patching ne permet pas, à lui seul, de raccourcir la durée de vie et d’activité des botnets. Il s’agit également d’assurer les opérations de nettoyage et de restauration. Les données montrent que 58,5% des infections par botnets sont détectées et neutralisées le même jour. 17,6% et 7,3% des botnets restent actifs deux jours et trois jours de suite respectivement. À noter que 5% de ces botnets restent actifs plus d‘une semaine. À titre d’exemple, Andromeda a été démantelé au quatrième trimestre 2017, mais les données sur le premier trimestre 2018 indiquent une présence importante de ce botnet, tant en incidence qu’en prévalence.
  • Attaques contre les technologies OT: Si les attaques ciblant les environnements OTrestent mineures, cette tendance n’en est pas moins préoccupante. En effet, les attaques sur ces environnements industriels, de plus en plus interconnectés et connectés à Internet, peuvent entraîner des conséquences potentiellement désastreuses en matière de sécurité. Actuellement, la majorité des exploits cible deux des protocoles de communication industrielle les plus communs. Les données montrent que c’est en Asie que les tentatives ciblant les systèmes de contrôle industriels sont plus nombreuses par rapport aux autres régions.

Comment lutter contre les exactions ?

Les données sur les menaces sur ce trimestre sont conformes aux prédictions des chercheurs des FortiGuard Labs pour 2018, témoignant ainsi que la meilleure des défenses contre les menaces intelligentes et automatisées est une Security Fabric intégrée, élargie et automatisée. Une sécurité contextuelle et proactive s’impose pour contrer la nouvelle génération des attaques automatisées qui capitalisent sur l’intelligence artificielle.

Share.

About Author

Directrice de Globb Security France et Espagne. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @Drodriguezleal.

Leave A Reply