Les botnets multifonctions sont de plus en plus répandus

0

Les dernières années ont été marquées par la créations de botnets de plus en plus puissants. L’ingéniosité des cybercriminels ne cesse d’augmenter et les botnets sont un bon exemple. Se propageant la plupart du temps via des attaques et des logiciels malveillants basés sur des fichiers, ceux-ci font aujourd’hui la une de l’actualité car les chercheurs de Kaspersky Lab viennent de publier leur rapport sur l’activité des botnets au premier semestre 2018, analysant plus de 150 familles de malwares et leurs variantes en circulation, propagées par 60 000 botnets à travers le monde.

L’un des aspects les plus remarquables révélés par l’étude a trait à la demande croissante, au niveau international, de malwares multifonctions suffisamment polyvalents pour effectuer à peu près n’importe quelle tâche.

Les botnets – des réseaux de machines infectées (des « zombies ») afin de perpétrer des activités criminelles – sont pilotés par des individus malveillants dans le but de propager des malwares et de faciliter des attaques par déni de service (DDoS) et spam. A l’aide de la technologie Botnet Tracking de Kaspersky Lab, les chercheurs de la société surveillent continuellement l’activité des botnets en vue de prévenir de futures attaques ou de tuer dans l’œuf un nouveau type de cheval de Troie bancaire.

Le principe de cette technologie consiste à émuler une machine infectée et à intercepter les commandes reçues d’acteurs malveillants qui se servent des botnets pour diffuser des malwares. Les chercheurs obtiennent ainsi de précieux échantillons de ces malwares, de même que des statistiques essentielles.

Les malwares monofonctions diffusés par des botnets reculent 

D’après les résultats des études récentes, au premier semestre 2018, la part des malwares monofonctions diffusés par des botnets a chuté fortement comparée au second semestre 2017. Par exemple, au semestre dernier, 22,46 % de l’ensemble des fichiers malveillants propagés par les botnets surveillés par Kaspersky Lab étaient des chevaux de Troie bancaires, alors qu’au premier semestre 2018, la proportion de ceux-ci a reculé de 9,21 points de pourcentage, pour ne plus représenter que 13,25 % de tous les fichiers malveillants observés par le service Botnet Tracking de la compagnie russe.

La part de zombies émetteurs de spam – un autre type de logiciel malveillant monofonction diffusé par les botnets – a elle aussi nettement baissé, passant de 18,93 % au second semestre 2017 à 12,23 % au premier semestre 2018. Les zombies lançant des attaques DDoS, autre exemple typique de malware monofonction, régressent également, de 2,66 % à 1,99 % au cours de la même période.

Les malwares à caractère polyvalent progressent

Dans le même temps, la progression la plus nette a concerné les malwares à caractère polyvalent, en particulier de type RAT (Remote Access Tool), offrant des possibilités quasi illimitées pour exploiter à distance un PC infecté. Depuis le premier semestre 2017, la proportion des fichiers RAT figurant parmi les malwares propagés par des botnets a presque doublé, passant de 6,55 % à 12,22 %. Njrat, DarkComet et Nanocore viennent en tête de liste des RAT les plus répandus. En raison de leur structure relativement simple, ces trois backdoors peuvent même être modifiés par des amateurs, en vue de leur adaptation à une diffusion dans une zone géographique spécifique.

Les chevaux de Troie, eux aussi également utilisés à diverses fins, n’affichent pas une progression comparable aux RAT mais, à la différence de nombreux malwares monofonctions, leur part dans les fichiers détectés a augmenté, passant de 32,89 % au second semestre 2017 à 34,25 % au premier semestre 2018. A l’instar des backdoors, il est possible de modifier une famille de chevaux de Troie et de les piloter au moyen de plusieurs serveurs de commande et contrôle (C&C), remplissant chacun un rôle distinct, par exemple pour se livrer à du cyberespionnage ou au vol d’identifiants.

Selon Alexander Eremin, expert en sécurité chez Kaspersky Lab, la raison pour laquelle les RAT et autres malwares multifonctions deviennent prédominants dans les botnets est évidente :  « l’exploitation des botnets coûte cher et, pour réaliser des bénéfices, les criminels doivent pouvoir utiliser chaque opportunité de tirer profit des malwares. Un botnet reposant sur des malwares multifonctions peut modifier ses fonctions relativement vite et passer de l’envoi de spam au lancement d’attaques DDoS ou à la diffusion de chevaux de Troie bancaires. Tandis que cette capacité en soi permet à l’exploitant d’un botnet d’alterner entre différents modèles économiques malveillants “actifs”, elle offre aussi la possibilité d’un revenu passif : il suffit pour cela au propriétaire de louer son botnet à d’autres criminels », commente Alexander Eremin, expert en sécurité chez Kaspersky Lab.

Les seuls programmes malveillants monofonctions à présenter une progression impressionnante au sein des botnets sont les mineurs de cryptomonnaie. Même si leur pourcentage de fichiers répertoriés n’est pas comparable aux malwares multifonctions les plus répandus, leur part a doublé, ce qui confirme la tendance générale à une explosion des logiciels malveillants de minage, décrite précédemment par les experts de Kaspersky Lab.

Comment éviter de se voir enrôlé dans un botnet

Afin de réduire le risque de voir leurs machines enrôlées dans un botnet, il est conseillé de :

  • Appliquer les correctifs aux logiciels présent sur votre PC dès que les mises à jour de sécurité portant sur les vulnérabilités les plus récentes sont disponibles. Les machines non mises à jour risquent d’être exploitées par des cybercriminels et de se retrouver connectées à un botnet.
  • Ne pas télécharger de logiciels piratés ni d’autres contenus illicites, car ceux-ci servent souvent à la propagation de programmes malveillants.
Share.

About Author

Directrice de Globb Security France et Espagne. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @Drodriguezleal.

Leave A Reply