Voici les cyberattaques phares de 2019

0

En 2019, nous avons constaté une hausse importante du nombre de conteneurs exposés et vulnérables à des attaques. Nous nous attendons à ce que d’autres occurrences de ces nouvelles failles risquées pour les entreprises en 2020. Les attaquants vont continuer à chercher de nouvelles façons d’attaquer les entreprises à travers le cloud, comme les sociétés continueront à se tourner vers cette technologie. Quand bien même les conteneurs ne sont pas exposés sans sécurité à la vue de tous, les systèmes peuvent toujours être vulnérables à des failles touchant les logiciels et systèmes d’exploitation classiques. 

La tendance des vulnérabilités dans les logiciels et applications dans le cloud continuera à augmenter. L’un de ces exemples est la découverte par Unit 42 du premier ver de cryptojacking répandu en utilisant les conteneurs du Docker Engine (Community Edition). 

De plus, nous nous attendons à voir plus d’attaques par ransomware en 2020, comme nous avons constaté en 2019, un plus grand nombre de cybercriminels qui ne vendaient pas seulement des ransomware ou proposaient du ransomware-as-a-service, mais également qui proposaient des pas-à-pas pour créer ses ransomware. L’an dernier nous avions prédit une hausse des ransomware post-intrusion pour complètement désarçonner les sociétés ciblées et ainsi récupérer des rançons nettement plus importantes. Au cours de cette année, nous avons étudié la famille de malwares LockerGoga, qui a eu un effet significatif, plus particulièrement en Europe. 

Les chercheurs d’Unit 42 ont également analysés environ 10 700 exemples de malwares écrits en Go, et ont déterminé en juillet — en se basant sur l’horodatage — que les malwares en Go ont augmenté de façon régulière durant de nombreux mois en 2019. De plus, 92 % des exemples identifiés étaient compilés pour les systèmes d’exploitation Windows, faisant de ceux-ci la principale cible des développeurs de malwares sous Go. Même si ce langage de développement n’est pas encore le favori de la communauté de développeurs de malware, nous nous attendons à ce qu’il gagne en popularité en 2020. Il est intéressant de noter qu’Unit 42 a également constaté que ce langage était souvent utilisé pour des attaques étatiques, entre autres, dans le passé. Il semble que ce soit dû à la volonté de changer la façon dont le code se présente pour dérouter les scanners de sécurité.

Quelles furent les attaques phares de 2019 ? 

  • PKPLUG

Après trois ans de traque, Unit 42 a publié en octobre un rapport sur un ensemble d’attaques de cyber-espionnage à travers toute l’Asie, qui utilisait un mélange de malwares tout fait et personnalisés. Nous avons nommé ce groupe de cybercriminel (ou ces groupes, comme notre analyse actuelle ne nous permet pas d’affirmer à 100 % qu’il s’agit d’un seul groupe), ‘PKPLUG’ et nous les avons repérés dans toute l’Asie du Sud-Est en particulier au Myanmar (ex-Birmanie), à Taïwan, au Vietnam et en Indonésie. Il y a de bonnes raisons de penser qu’ils ont été également actifs dans d’autres régions d’Asie, comme le Tibet, Xinjiang ou la Mongolie. Cet acteur cible les appareils sous Android avec un malware d’espionnage, mais également de façon plus classique, les PC sous Windows avec des malwares comme PlugX et Poison Ivy, et le malware jusqu’à présent inconnu, Farseer, ouvrant aussi des backdoors (ou portes dérobées) dans les systèmes des victimes.

  • xHunt

Entre mai et juin 2019, Unit 42 a observé des outils inconnus utilisés pour s’attaquer aux organisations de transport basées au Koweït, avec une variante de ses outils remontant à juillet 2018. En septembre, nous avons publié un rapport montrant comment ces outils pouvaient être liés aux campagnes OilRig ISMA Agent, qui se sont spécialisées dans l’attaque des organisations de transports au Moyen-Orient. Du coup, nous continuerons à surveiller de près cette activité en 2020 pour en apprendre le plus possible sur ces cybercriminels. Les outils utilisés dans les campagnes xHunt avaient différentes techniques de Command and Control (C2) y compris une nouvelle méthode pour générer des brouillons de mails communicants avec le cybercriminel sans avoir à envoyer directement de mail, ce qui les rend les mécanismes de communication plus difficiles à détecter.

  • BabyShark

En février, les chercheurs d’Unit 42 ont publié un rapport sur des mails d’hameçonnage ciblés envoyés en novembre 2018 contenant de nouveaux malwares partageant une infrastructure commune avec des playbooks associés à des campagnes menées par la Corée du Nord. Ce malware, que nous avons nommé ‘BabyShark’, envoie des informations sur le système à ses serveurs C2 une fois qu’il a infecté un appareil, et reste en place en attendant de nouvelles instructions par l’opérateur.

  • Mirai

Les variantes de Mirai, le botnet Linux/IoT bien connu, ont été nombreuses en 2019. Unit 42 en a découvert une nouvelle en janvier s’attaquant aux systèmes d’affichage et de présentations sans fil des entreprises, une autre en février compilée pour de nouvelles architectures et de nouveaux processeurs, et huit nouveaux exploits ajoutés en juin ciblant un plus grand nombre d’objets connectés. Les objets connectés restent une cible populaire dans la communauté des hackers, en raison d’une moindre importance accordée à la sécurité de l’IoT. Le nombre d’objets connectés ne fera que croître en 2020, notamment avec l’arrivée commerciale de la 5G.

About Author

Avatar

Analyste au sein de L'Unité 42, l'unité de recherches de Palo Alto Networks,

Leave A Reply