Des attaques de toutes parts: Des attaques de toutes parts Rapport semestriel sur la sécurité 2021










Des attaques de toutes parts : Rapport semestriel sur la cybersécurité 2021 Téléchargez Des attaques de toutes parts : Rapport semestriel sur la cybersécurité 2021

Au cours du premier semestre de cette année, les bastions de cybersécurité étaient encerclés par des cybercriminels prêts à bondir sur la moindre faille dans les défenses, pour ravager des biens de valeur.

Des menaces et des risques de toutes parts se sont rapidement rapprochés, accompagnés de tactiques mises à jour et d'une motivation supérieure à affecter les industries ciblées. Ces problèmes de sécurité incluent des attaques par ransomware modernes très en vue, des campagnes actives, des vulnérabilités critiques, des escroqueries liées à la Covid-19 et d'autres menaces, sans parler des menaces en évolution dans le cloud et dans l'Internet des objets (IdO).

Nous enquêtons sur ces problèmes dans notre rapport de synthèse semestriel, « Des attaques de toutes parts : Rapport semestriel sur la cybersécurité 2021. »

Pour mieux préparer l'avenir, nous allons retracer nos pas tout au long de l'année, dans le contexte volatile de la cybersécurité.

Par où voudriez-vous commencer ?



01

Ransomwares

Les ransomware ont continué d'évoluer au rang de l'une des cybermenaces les plus dangereuses, amassant plus de 7 millions de détections combinées de menaces par email, URL et fichiers. Les acteurs malveillants ont évolué de manière rapide et agressive, avec des attaques contre des secteurs critiques tels que la banque, le gouvernement et la fabrication.

Banque
15,537
Gouvernement
10,225
Fabrication
4,957
Santé
4,802
Agroalimentaire
2,330

Les cinq principaux secteurs touchés par les ransomware au premier semestre 2021

Certaines des stratégies des opérateurs, telles que leur propension à cibler des industries cruciales, sont restées constantes, mais nombre de leurs tactiques ont évolué de manière drastique et rapide. Des variantes importantes de ransomware ont fait monter les enchères, les nouvelles familles aggravant les risques. Certains acteurs malveillants ont rapidement saisi l'occasion et se sont fait passer pour des gangs de ransomware, comme dans le cas d'une fausse campagne DarkSide.

Familles de ransomware notables


DarkSide

DarkSide a lancé une série d'attaques très médiatisées, dont l'incident Colonial Pipeline.

Il a également mis à jour sa technique activement, par exemple une variante DarkSide Linux ciblant les serveurs VMware ESXi.


REvil
(alias Sodinokibi)

REvil a été utilisé lors d'une récente attaque contre JBS, géant de la viande.

Au cours du premier semestre 2021, les détections de fichiers Trend Micro pour REvil ont également plus que doublé par rapport à la même période l'année dernière.


Bonjour

Bonjour, une nouvelle variante de ransomware exploite la vulnérabilité Microsoft SharePoint CVE-2019-0604.

Nous avons également constaté qu'elle déployait le shell Web China Chopper pour exécuter des commandes PowerShell.

De tels incidents ont suscité des discussions sur les questions délicates du paiement des rançons, de la cyber-assurance et de la législation potentielle. Les autorités et les chercheurs en sécurité ont également déployé des efforts agressifs pour éliminer les gangs de ransomware, ce qui a conduit à une série d'arrestations très médiatisées, comme dans le cas des opérateurs Egregor et Clop.

Techniques raffinées

Les opérateurs de ransomware ont étendu leur utilisation d'outils légitimes. Ils ont également fait monter les enjeux de leurs techniques d'extorsion, du chiffrement à l'exposition des données volées, en passant par l'intégration d'attaques par déni de service distribué (DDoS) et par le harcèlement direct des clients et des parties prenantes des organisations victimes.

Techniques de multi-extorsion des ransomware



02

Menaces persistantes avancées

Les menaces persistantes avancées ont également été actives, puisque plusieurs campagnes ont été lancées au cours du premier semestre de cette année.

Les groupes de menaces derrière ces menaces persistantes avancées brandissaient à la fois des techniques éprouvées et des tactiques innovantes. Les premières comprenaient l'utilisation d'emails et de scripts malveillants de spear phishing, tandis que les deuxièmes impliquaient de nouvelles plates-formes légitimes, des variantes de malware et des outils d'accès à distance (RAT, remote access tools) tels que le chargeur PlugX.

Menaces persistantes avancées notables


TeamTNT

TeamTNT est à nouveau à l'œuvre, en ciblant cette fois les informations d'identification Amazon Web Services (AWS) et les clusters Kubernetes. Ces attaques sont également liées à l'extraction de crypto-monnaie.

Pour celle-ci, la Chine et les États-Unis comptent le plus grand nombre d'adresses IP compromises.


Water Pamola

Nous avons remarqué quelques changements dans la tactique de Water Pamola. Il s'agit notamment d'une concentration principale sur des cibles au Japon. De plus, au lieu de passer par le spam, certaines attaques sont lancées en exploitant une vulnérabilité de cross-site scripting (XSS) dans le portail d'administration en ligne d'un magasin.


Earth Vetala

Earth Vetala – MuddyWater a lancé des campagnes contre des organisations au Moyen-Orient et dans les régions environnantes. L'attaque a profité d'outils d'administration à distance légitimes, tels que ScreenConnect et RemoteUtilities, pour distribuer des charges utiles.


Iron Tiger

Iron Tiger, connu pour cibler les sociétés de jeux d'argent et de hasard en Asie du Sud-Est, a mis à jour sa boîte à outils avec une variante du malware SysUpdate évoluée. De plus, le groupe utilise désormais cinq fichiers (au lieu de trois) dans sa routine d'infection.


Earth Wendigo

Trend Micro a découvert une menace persistante avancée qui ciblait des organisations à Taïwan depuis 2019. Nous avons surnommé ces acteurs malveillants Earth Wendigo. Les attaques utilisent des emails de spear phishing avec du code JavaScript malveillant injecté sur un système de messagerie Web largement utilisé.

Menaces persistantes avancées notables au cours du premier semestre 2021

Le flux d'attaque de l'opération d'Earth Wendigo



03

Vulnérabilités

Des vulnérabilités notables ont fait la une des journaux, tandis que les chercheurs se dépêchaient de corriger les systèmes affectés avant que ces failles ne présentent des dangers et ne perturbent les configurations de travail, y compris celles à distance.

ProxyLogon

Un incident de piratage informatique, attribué au groupe Hafnium, a permis l'exploitation de quatre vulnérabilités zero-day dans les versions sur site de Microsoft Exchange Server. Ces vulnérabilités sont CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065, collectivement appelées ProxyLogon.

Vulnérabilités Microsoft SharePoint

Cinq vulnérabilités notables d'exécution de code à distance (RCE, remote code execution) ont également affecté Microsoft SharePoint, une plate-forme de gestion et de stockage de documents en ligne qui peut également être utilisée dans des configurations de travail à distance.

CVE-2021-24066Désérialisation du flux de travail des données non fiables - Vulnérabilité d'exécution de code à distance
CVE-2021-27076Désérialisation de la liste InfoPath des données non fiables - Vulnérabilité d'exécution de code à distance
CVE-2021-31181Conflit d'interprétation WebPart - Vulnérabilité d'exécution de code à distance
CVE-2021-28474Conflit d'interprétation du contrôle côté serveur - Vulnérabilité d'exécution de code à distance
CVE-2021-26420Fonction dangereuse exposée WorkflowCompilerInternal - Vulnérabilité d'exécution de code à distance

Vulnérabilités Microsoft SharePoint RCE pour le premier semestre 2021

Vulnérabilités VPN

Face à la persistance des configurations de télétravail (WFH, work-from-home), les réseaux privés virtuels (VPN) restent un outil essentiel pour assurer la sécurité. Les détections de ces vulnérabilités ont continué de proliférer, avec quelques pics par rapport à la même période l'année dernière.

Fortinet

Pulse Secure

Citrix Systems

CVE-2018-13379

CVE-2019-11510

CVE-2019-11539

CVE-2019-19781

2020

Janv.

15,834

88,506

9

 

856

287

 

Févr.

9,864

66,164

12

 

52

19

 

Mars

14,910

63,716

115

 

118

18

 

Avr.

18,312

62,862

69

 

2,703

1

 

Mai

20,897

60,791

60

 

2,921

7

 

Juin

27,110

39,994

123

 

2,783

5

2021

Janv.

113,330

45,937

787

 

1,388

3

 

Févr.

77,853

15,627

488

 

579

761

 

Mars

75,785

27,876

566

1

713

158

 

Avr.

68,651

21,440

956

 

988

5

 

Mai

70,083

15,230

508

 

650

5

 

Juin

61,467

9,558

301

11

418

15

Détections de vulnérabilités VPN pour le premier semestre 2020 et le premier semestre 2021

PrintNightmare

« PrintNightmare » est le nom attribué à CVE-2021-1675, une vulnérabilité critique du spouleur d'impression Windows qui permet l'exécution de code arbitraire avec des privilèges au niveau du système. La fuite accidentelle d'un code d'exploit de preuve de concept a déclenché une course contre la montre, visant à corriger cette vulnérabilité le plus rapidement possible.

Dans l'ensemble, le nombre de détections de vulnérabilités a légèrement diminué, avec une baisse notable des vulnérabilités critiques.

GravitéNombre au 1er semestre 2021Nombre au 1er semestre 2020
Critique16121
Élevée553547
Moyenne10776
Faible9442
Total770786

Comparaison semestrielle de la répartition de la gravité, basée sur le CVSS des vulnérabilités divulguées via notre programme Zero Day Initiative (ZDI).
Source : Programme ZDI de Trend Micro



04

Escroqueries et autres menaces liées à la Covid-19

Même en pleine pandémie, les affaires continuent pour de nombreux acteurs malveillants, qui recherchent toujours de nouvelles menaces ou affinent les actuelles. Certains cybercriminels ont directement profité de la pandémie, utilisant l'incertitude et la détresse provoquées par la situation comme des munitions d'ingénierie sociale pour élaborer leurs escroqueries.

Menaces liées à la Covid-19

Alors que le déploiement des programmes de vaccination se poursuit dans le monde, les menaces liées aux vaccins contre la Covid-19 prolifèrent elles aussi. Celles-ci impliquent des fichiers malveillants, des emails, des SMS, des sites de désinformation et des pages de phishing. Les cibles habituelles sont les secteurs des télécommunications, de la banque, du commerce de détail, du gouvernement et de la finance.

États-Unis
1,584,337
Allemagne
832,750
Colombie
462,005
Italie
131,197
Espagne
111,663
Autres
1,287,440

Les principaux pays touchés par les menaces liées à la Covid-19 au premier semestre 2021

Menaces actives

XCSSET

XCSSET cible les utilisateurs Mac et infecte les projets Xcode. Il y a quelques mois, les acteurs malveillants ont mis à jour XCSSET avec des fonctionnalités qui lui permettent de s'adapter aux Mac ARM64 et x86_x64. Le malware a également acquis la capacité à collecter des informations sensibles sur certains sites Web, y compris les plateformes de trading de crypto-monnaie.

PandaStealer

PandaStealer est un nouveau voleur d'informations qui peut collecter des informations sensibles telles que des clés privées et des enregistrements de transactions passées à partir des portefeuilles de devises numériques d'une cible. Il peut également collecter les informations d'identification dans d'autres applications, prendre des captures d'écran et exfiltrer les données des navigateurs. Il se propage principalement via des emails de spam demandant des devis commerciaux.



05

Le cloud et l'Internet des objets (IdO)

Les circonstances provoquées par la pandémie ont catalysé l'adoption de systèmes en ligne alimentés par des technologies telles que le cloud et l'IdO. Cependant, ces domaines comportent leurs propres ensembles de menaces et de risques.

Cloud

Certaines menaces importantes cette année incluent les attaques TeamTNT. Au début de l'année, nous avons découvert que les acteurs malveillants derrière TeamTNT ciblaient certains systèmes cloud :

  • Informations d'identification AWS. TeamTNT a volé des informations d'identification AWS via un binaire contenant un script shell codé en dur. Plus de 4 000 instances ont été compromises.
  • Clusters Kubernetes. TeamTNT a compromis des clusters Kubernetes un peu partout. Près de 50 000 adresses IP ont été affectées sur plusieurs clusters.

L'IdO

Nous avons découvert des risques dans plusieurs facettes de l'IdO, notamment le réseau WAN à longue portée (LoRaWAN), la 5G et les routeurs.

LoRaWAN

Bien qu'utiles dans les entreprises et les villes intelligentes, les appareils LoRaWAN ne sont pas à l'abri des compromis. Après avoir détecté des vulnérabilités exploitables dans ces appareils, nous avons créé l'outil LoRaPWN qui permet d'évaluer la sécurité des communications LoRaWAN.

5G

La mise en place de réseaux de campus 4G/5G pour les entreprises comporte des risques. Pour étudier ces dangers, nous avons identifié plusieurs scénarios d'attaque, notamment le piratage DNS, le piratage MQTT, le piratage Modbus/TCP, le téléchargement ou la réinitialisation d'automates programmables (PLC, programmable logic controller) non protégés, le bureau à distance et l'échange de SIM.

Routeurs

Les routeurs ont toujours été en proie à des problèmes de sécurité. Nous avons analysé les infections de routeur et trouvé VPNFilter, un botnet IdO représentant l'une des menaces les plus importantes. Pour compromettre les routeurs et les périphériques de stockage, VPNFilter utilise des comptes de porte dérobée et divers exploits.



06

Contexte
actuel des menaces

40,956,909,973

Nombre total de menaces bloquées pour le premier semestre 2021



Menaces par email bloquées

1er 
trimestre
16,089,334,070
2e 
trimestre
17,226,781,018

Fichiers malveillants bloqués

1er 
trimestre
2,343,479,304
2e 
trimestre
3,997,341,419

URL malveillantes bloquées

1er trimestre
535,451,111
2e trimestre
764,523,051

Demandes liées à la réputation d'emails

1er 
trimestre
20,910,330,826
2e 
trimestre
22,075,108,541

Demandes liées à la réputation de fichiers

1er 
trimestre
442,384,974,451
2e 
trimestre
517,455,645,611

Demandes liées à la réputation d'URL

1er trimestre
848,818,567,862
2e trimestre
796,857,859,588

Téléchargez notre rapport complet pour mieux comprendre les cybermenaces et les risques urgents qui ont sévi au premier semestre 2021, et pour en savoir plus sur nos recommandations d'experts en matière de sécurité pour les utilisateurs et les entreprises.









HIDE

Like it? Add this infographic to your site:
1. Click on the box below.   2. Press Ctrl+A to select all.   3. Press Ctrl+C to copy.   4. Paste the code into your page (Ctrl+V).

Image will appear the same size as you see above.