Un état de flux constant: Rapport annuel sur la cybersécurité Trend Micro 2020

23 février 2021

Un état de flux constant

Rapport annuel sur la cybersécurité Trend Micro 2020

$2$ Téléchargez Un état de flux constant : Rapport annuel sur la cybersécurité Trend Micro 2020

2020 a été l'année qui a bloqué les organisations et testé leurs limites dans de nombreux aspects. Des incidents de grande importance, le passage au télétravail et d'autres changements majeurs par rapport aux situations habituelles ont suscité une nouvelle prise de conscience et une réévaluation dans les organisations. Les défis qu'elles ont rencontrés ont ouvert la voie à des solutions adaptatives et alternatives qui prennent en compte les points de vue aussi bien humain que technologique.

Du côté des cybercriminels, l'année a été une source de nombreuses possibilités d'activités malveillantes. Ils ont profité des événements majeurs pour réaliser des profits illicites. En utilisant des techniques anciennes et nouvelles, ils ont exploité des vulnérabilités, des erreurs de configuration et d'autres failles de sécurité alors que les particuliers et les entreprises se dépêchaient d'adopter des technologies pour s'adapter aux défis rencontrés.

Notre rapport annuel sur la cybersécurité se retourne sur une année sans précédent et étudie les problèmes de sécurité les plus notables et cruciaux qui ont émergé et persisté en 2020. Il fournit aux utilisateurs et aux organisations des informations sur la façon dont ils peuvent avancer dans un contexte de menaces en constante évolution.

Attaques ciblées

Quelles industries ont été les plus durement touchées par les attaques de ransomware ?

Gouvernement, banque, fabrication et santé ont comptabilisé près de 90 000 détections.

Quel a été le principal ransomware en termes de détections ?

WannaCry a comptabilisé le plus grand nombre de détections : 220,166.

Ryuk a été le plus actif en octobre, avec plus de 2 000 détections, après cinq mois d'inactivité d'avril à août.

Egregor et DoppelPaymer, deux familles de ransomwares relativement nouvelles, se sont classées parmi les 10 premiers en termes de détections.

Ransomwares

Les opérateurs de ransomwares ont maximisé leurs flux de profits avec un double coup dur. En plus d'exiger de l'argent pour restaurer l'accès de leurs victimes aux données chiffrées (et même d'augmenter la rançon si le paiement était en retard), ils ont menacé de diffuser des informations sensibles si les victimes ne payaient pas. Face au risque d'exposition publique, les organisations victimes ont été confrontées à la possibilité de subir une atteinte à leur réputation ainsi qu'une perte de données. Le caractère essentiel des fonctions des cibles fréquentes des attaques de ransomwares, notamment les agences et entreprises des secteurs du gouvernement, de la banque, de la fabrication et de la santé, n'a fait qu'accroître l'urgence de céder aux demandes des opérateurs de ransomwares.

127

2019

2020

Comparaison du nombre de nouvelles familles de ransomwares en 2019 et 2020

Gouvernement

31,906

Banque

22,082

Fabrication

17,071

Santé

15,701

Finance

4,917

Éducation

4,578

Technologie

4,216

Agroalimentaire

3,702

Pétrole et gaz

2,281

Assurance

2,002

Les 10 secteurs les plus ciblés par des attaques de ransomwares en 2020

Le petit dernier Egregor, qui a fait ses premiers pas dans les derniers mois de l'année, a notamment utilisé la technique de la double extorsion en s'attaquant à des cibles de premier plan, notamment de grandes organisations du commerce de détail, des jeux et des ressources humaines.

La technique de double extorsion utilisée par Egregor

Attaques de chaîne d'approvisionnement

Les organisations ont peut-être amélioré leur sécurité, mais les acteurs malveillants pouvaient toujours trouver des moyens d'accéder à leurs systèmes en compromettant leurs partenaires au sein de leurs chaînes d'approvisionnement. En tirant parti de la relation et de la confiance établies entre une organisation cible et ses partenaires, les attaquants de la chaîne d'approvisionnement pouvaient pénétrer dans les systèmes de l'organisation.

L'une des attaques de chaîne d'approvisionnement les plus médiatisées récemment a été découverte en décembre sous la forme de l'attaque impliquant Orion, un logiciel de système de gestion de réseau très répandu, développé par SolarWinds. Les acteurs malveillants responsables de l'attaque ont inséré une vulnérabilité dans certaines versions d'Orion qui pouvaient permettre aux attaquants de compromettre les serveurs exécutant le logiciel. Une fois la mise à jour pertinente envoyée aux clients, les attaquants ont pu déployer des portes dérobées qui leur ont donné un accès complet aux réseaux concernés et leur ont permis d'effectuer diverses activités malveillantes. Compte tenu de la nature de certaines des cibles, y compris les principales agences gouvernementales des États-Unis, l'attaque pourrait avoir de lourdes conséquences.

Menaces liées à la pandémie

Combien de menaces détectées étaient liées à la COVID-19 ?

Plus de 16 millions de menaces liées à la COVID-19 ont été détectées.

Quel type de menace constituait la majorité des détections liées à la COVID-19 ?

Près de 90 % des menaces détectées liées à la COVID-19 étaient du spam malveillant.

Bien que relativement nouvelle, la vulnérabilité VPN CVE-2019-11510 a représenté près de 800 000 détections rien qu'en 2020.

Plus de 60 % des détections de menaces liées à la COVID-19 provenaient des États-Unis, de l'Allemagne et de la France.

Arnaques liées à la COVID-19

Alors que la COVID-19 continuait de décimer des vies à travers le monde, des acteurs malveillants ont profité de la maladie et de l'incertitude provoquée par la pandémie pour faire avancer leurs projets illicites. La grande majorité de nos détections de menaces sur le thème de la COVID-19 se sont présentées sous la forme de spams malveillants, y compris des emails de phishing d'informations personnelles et financières. La plupart provenaient des États-Unis, d'Allemagne et de France, qui figuraient également parmi les pays les plus durement touchés par la pandémie. Les escrocs derrière ces menaces leur ont donné un sentiment d'actualité et d'urgence en les personnalisant avec des références à des préoccupations pertinentes, telles que les programmes de relance suite à la COVID-19 et les déploiements de vaccins. Les escrocs d'usurpation d'identité par email ont également misé sur la pandémie : Les lignes d'objet de la plupart des échantillons d'usurpation d'identité par email que nous avons détectés mentionnaient la COVID-19.

88,5 % - Spams

11,3 % - URL

0,2 % - Malware

TOTAL : 16,393,564

La répartition des détections de menaces liées à la COVID-19 en 2020 par type

38,4 % - États-Unis

14,6 % - Allemagne

9,2 % - France

4,7 % - Australie

4,1 % - Royaume-Uni

29,0 % - Autres

TOTAL : 16,393,564

La répartition des détections de menaces liées à la COVID-19 en 2020 par pays

Les défis du travail à distance

Alors que les organisations ont mis en œuvre des accords de travail à distance en réponse à la pandémie, les réseaux privés virtuels (VPN) sont devenus des outils précieux pour protéger les connexions réseau contre les menaces externes. Mais comme tout logiciel, les solutions VPN pouvaient également héberger des vulnérabilités, qui, si elles étaient exploitées, permettaient aux attaquants de voler des informations propriétaires et de surveiller les systèmes de leurs cibles. Une vulnérabilité VPN, CVE-2019-11510, a représenté près de 800 000 détections rien qu'en 2020 et a été impliquée dans des attaques en 2020 où elle a été exploitée pour livrer des ransomwares. Les acteurs malveillants ont également trouvé d'autres moyens d'incorporer des VPN dans leurs attaques : en septembre, nous avons découvert une instance où un attaquant avait associé un programme d'installation VPN à la porte dérobée Bladabindi, qui pouvait être utilisée pour recueillir des informations sur les machines infectées.

L'essor du télétravail s'est également traduit par une augmentation de l'utilisation d'outils de communication tels que Zoom, Slack et Discord. Cela a conduit, à son tour, à une augmentation des attaques qui ont abusé de ces applications : des canulars « Zoombombing » et des programmes d'installation Zoom malveillants à une variante de ransomware qui a utilisé des webhooks Slack et une campagne de spams qui utilisait Discord pour diffuser des malwares.

413,641

784,063

130

21,652

CVE-2018-13379

CVE-2019-11510

CVE-2019-11539

CVE-2019-19781

Le nombre de détections de vulnérabilités VPN notables en 2020

Risques liés au cloud et à l'IoT

Quelle a été la méthode la plus couramment utilisée dans les attaques IoT ?

La grande majorité des attaques entrantes et sortantes ont utilisé la connexion par force brute.

Quels services basés sur le cloud sont proposés sur le marché clandestin ?

Les services basés sur le cloud offerts sur le marché clandestin vont de simples services d'hébergement dédiés à des offres de niche comme les espaces de travail mobiles.

Le malware botnet Mirai a créé de nouvelles variantes qui exploitent les vulnérabilités d'injection de commande et d'injection de code à distance.

Les ensembles de données vendus sur le marché souterrain contiennent généralement des informations personnellement identifiables et des informations d'identification d'utilisateurs pour divers services cloud.

Menaces cloud

En 2020, le cloud est devenu une composante encore plus intégrante des opérations de nombreuses organisations. Mais la bonne configuration des actifs et des services cloud est restée difficile. En avril, par exemple, il a été signalé que des attaquants avaient déposé des programmes d’extraction de crypto-monnaie sur des ports API du démon Docker mal configurés via le malware Kinsing. En octobre, nous avons signalé une attaque contre des API Docker exposées qui impliquait l'utilisation du shellcode Metasploit Framework (MSF) en tant que charge. C'était la première fois que nous observions l'utilisation d'une telle technique.

En 2020, nous avons également publié nos résultats sur la manière dont les acteurs malveillants tirent parti de l'infrastructure cloud clandestine. Sur le marché clandestin, les cybercriminels interagissent régulièrement les uns avec les autres et font des transactions. De temps à autre, ils délèguent des tâches pour des tâches communes, ce qui rend les services clandestins plus pratiques. Certains participants clandestins vendent également l'accès à des données volées, annoncées comme des « nuages de journaux ».

La chaîne d'infection du malware Kinsing

Comment le shellcode MSF a été utilisé pour attaquer les API de conteneur mal configurées

Attaques IoT

Les cybercriminels ont également noté la dépendance croissante des organisations et des employés envers l'Internet des Objets (IoT). Cela devrait être une préoccupation majeure, car les réseaux et appareils résidentiels pourraient être utilisés de manière abusive par des attaquants pour accéder aux réseaux d'entreprise auxquels ils sont connectés. Les routeurs sont particulièrement vulnérables, d'autant plus que la sécurité au domicile d'un collaborateur n'est pas aussi stricte que dans les locaux d'une entreprise.

15.5%

des routeurs ont peut-être été victimes.

5.1%

des routeurs ont peut-être été compromis.

En 2020, nous avons constaté une augmentation du nombre total d'événements d'attaque entrante, qui représentait plus du triple du total de 2019, et du nombre total d'événements d'attaque sortante, qui a presque doublé par rapport à 2019.

929,084,564

2,878,216,479

2019

2020

Comparaison du nombre de détection d'attaques entrantes possibles en 2019 et 2020

99,266,382

196,012,782

2019

2020

Comparaison du nombre de détection d'attaques sortantes possibles en 2019 et 2020

Contexte actuel des menaces

62,637,731,995

menaces bloquées en 2020

57,262,610,930

Menaces par email bloquées

3,698,445,871‬

Fichiers malveillants bloqués

1,676,675,194

URL malveillantes bloquées

79,743,156,637‬

Demandes liées à la réputation d'emails

1,523,957,334,514‬

Demandes liées à la réputation de fichiers

2,338,754,688,044

Demandes liées à la réputation d'URL

Comparaison du nombre de menaces par email, fichier et URL bloquées et de requêtes de réputation par email, fichier et URL au premier et deuxième semestres 2020

59,984,723

35,156,917

2019

2020

Comparaison du nombre d'applications Android malveillantes bloquées en 2019 et 2020

88,121

73,093

2019

2020

Comparaison du nombre de tentatives d'usurpations d'identité par email détectées en 2019 et 2020

Téléchargez notre rapport complet pour en savoir plus sur les problèmes cybersécurité les plus importants de 2020 et les stratégies les plus efficaces contre les menaces actuelles et émergentes.

$2$ Téléchargez Un état de flux constant : Rapport annuel sur la cybersécurité Trend Micro 2020

HIDE

Like it? Add this infographic to your site:
1. Click on the box below. 2. Press Ctrl+A to select all. 3. Press Ctrl+C to copy. 4. Paste the code into your page (Ctrl+V).

Image will appear the same size as you see above.

Posted in Roundup, Threat Reports, Ransomware, Spam, Vulnerabilities, Internet of Things, Cybersecurity