Menaces évasives, effets pervasifs
évasives,
effets
pervasifs
. . .
Au cours du premier semestre 2019, les organisations ont fait face à un large éventail de menaces entrantes et, fait plus urgent, ont dû traiter des menaces qui avaient déjà mis le pied dans leurs systèmes. Les malware qui “exploitaient l'existant,” ou tiraient parti des outils légitimes et sur liste blanche pour effectuer des actions malveillantes, ont été très répandus. Les ransomware, une vieille menace, se sont à nouveau concentrés sur des cibles en particulier. Le phishing, un autre danger perpétuel, a utilisé de nouvelles plateformes pour piéger les victimes. Le nombre de vulnérabilités divulguées à impact important a suscité des inquiétudes et a souligné la nécessité de mieux comprendre les risques concrets auxquels font face les systèmes d'entreprise.
Notre rapport semestriel sur la sécurité met en avant ces menaces et d'autres, qui ont marqué le premier semestre 2019, et fournit des informations en matière de sécurité pour aider les utilisateurs et les organisations à déterminer les solutions appropriées et les stratégies de défense à adopter.
. . .
Ransomware
Incidents marquants
Au cours du premier semestre 2019, les cybercriminels ont été plus sélectifs sur leurs cibles de ransomware. Ils se sont concentrés principalement sur les multinationales, les entreprises, et même les organisations gouvernementales. Leur modus operandi consistait à envoyer à des employés des emails de phishing sur mesure, à exploiter les failles de sécurité pour accéder au réseau, puis à se déplacer latéralement dans le réseau.
Le ransomware LockerGoga, par exemple, a frappé une entreprise de fabrication norvégienne et a arrêté la production dans plusieurs de ses usines en mars, causant plus de 55 millions USD de pertes financières. La ville de Baltimore dans le Maryland, quant à elle, a dû débourser 5,3 millions USD de coûts de récupération après que ses systèmes ont été infectés par le ransomware RobbinHood en mai.
Certaines organisations municipales ont subi une pression pour payer les rançons, dans l'espoir de restaurer rapidement les systèmes affectés utilisés pour leurs services publics. En particulier, trois municipalités en Floride ont été frappées par des attaques de ransomware distinctes en l'espace de quelques semaines : Riviera Beach, par une variante de ransomware non identifiée, et Lake City et Key Biscayne, par le célèbre ransomware Ryuk.
Riviera Beach
600 000 USD29 mai
Lake City
460 000 USD10 juin
Key Biscayne
Aucun paiement rapporté23 juin
Ces attaques hautement visibles et les paiements élevés se sont inscrites dans la forte augmentation de nos détections globales de ransomware depuis le deuxième semestre 2018 jusqu'au premier semestre 2019, même si le nombre de nouvelles familles de ransomware a diminué.
Routines complexes
Nous avons également observé les routines destructives au-delà du chiffrement de fichier. Certaines variantes de ransomware, comme les exemples ci-dessous, ont été conçues avec des fonctions notables qui diminuaient les chances pour les victimes de récupérer des fichiers et des systèmes.
- Ryuk- Arrive par spam
- Peut empêcher le démarrage des systèmes infectés - LockerGoga- Arrive via des données d'identification compromises
- Modifie les mots de passe des comptes utilisateur’ des systèmes infectés, évite que les systèmes infectés ne soient redémarrés - RobbinHood- Arrive via des ordinateurs de bureau à distance non sécurisés ou des chevaux de Troie
- Chiffre chaque fichier avec une clé unique - BitPaymer- Arrive via des comptes compromis et envoie des emails contenant Dridex
- Abuse de l'outil PsExec - MegaCortex- Arrive via des contrôleurs compromis
- Désactive certains processus - Nozelesn- Arrive par spam
- Son téléchargeur cheval de Troie, Nymaim, utilise des techniques sans fichier pour charger le ransomware.
Nos données ont démontré que différentes familles de ransomware étaient actives au cours du premier semestre de l'année. Mais le tristement célèbre WannaCry est resté la famille de ransomware la plus détectée, avec des chiffres qui ont dépassé de loin ceux des autres familles de ransomware cumulées.
Comparaison mensuelle entre les détections de WannaCry et les détections cumulées des autres familles de ransomwares lors du premier semestre 2019
. . .
Menaces qui
‘exploitent l'existant’
Incidents associés à des menaces sans fichier
Comparaison semestrielle des menaces sans fichier bloquées
Comme nous l'avions prévu, les acteurs malveillants ont de plus en plus “exploité l'existant”, en abusant de l'administration système légitime et des outils de tests de pénétration pour dissimuler leurs activités. Leurs menaces sans fichier ne sont pas aussi visibles que les malware traditionnels, car elles n'écrivent généralement pas sur le disque, sont souvent exécutées dans une mémoire du système, résident dans le registre ou utilisent des outils normalement sur liste blanche comme PowerShell, PsExec ou Windows Management Instrumentation.
Voici quelques menaces marquantes que nous avons détectées et qui utilisent des techniques sans fichier :
Ces menaces avaient un point commun : l'abus de PowerShell. PowerShell est un outil pratique pour les administrateurs système, mais il peut être utilisé par les cybercriminels pour lancer des charges sans avoir à écrire ou à exécuter un fichier dans la mémoire locale d'un système touché.
Malware macro
Les malware macro ont légèrement reculé par rapport au dernier semestre 2018. La plupart de nos détections de menaces basées sur macro ont été dues à Powload, principalement dans les spams. Powload a évolué au fil des ans : en diversifiant les charges qu'il délivre, en employant la stéganographie et même en utilisant des marques ou du vocabulaire spécifiques à la région. Nous avons également vu d'autres familles de malware macro utilisées dans des campagnes de spam qui envoyaient des voleurs d'informations comme Trickbot et les utilisaient pour le cyberespionnage.
Comparaison semestrielle de détection de malware macro liés ou non à Powload
Kits d'exploits
Nos données ont démontré que l'accès bloqué aux sites liés aux kits d'exploits a légèrement augmenté depuis le deuxième semestre 2018, même si les chiffres pour le premier semestre 2019 étaient encore bien éloignés du moment où les kits d'exploit étaient à leur pic. Les kits d'exploits saisissent toutes les occasions, en utilisant des vulnérabilités anciennes, mais toujours viables, et différentes charges, qu'ils adaptent à leurs besoins spécifiques.
Comparaison semestrielle d'instances d'accès bloqué à des URL hébergeant des kits d'exploit
Un kit d'exploit marquant du premier semestre 2019 a été Greenflash Sundown, qui a été utilisé par la campagne ShadowGate grâce à une version mise à niveau capable d'exploiter l'existant, c'est-à-dire avec un chargeur PowerShell mis à jour pour exécuter la charge sans fichier. La dernière activité marquante de ShadowGate a été notée en avril 2018 : Greenflash Sundown a été utilisé pour répandre un malware d'extraction de cryptomonnaie en Asie de l'Est.
. . .
Menaces liées à la messagerie électronique
Arnaques par phishing
Les activités de phishing ont reculé lors du premier semestre 2019. Nos données ont démontré une chute de 18 % dans le nombre de fois où nous avons empêché l'accès à un site de phishing à partir d'une adresse IP de client unique. Plusieurs facteurs ont pu être responsables de cette baisse, notamment une augmentation de la sensibilisation des utilisateurs concernant les arnaques par phishing. Fait intéressant, sur la même période, nous avons noté une augmentation de 76 % du nombre d'URL de phishing uniques bloquées qui ont usurpé Microsoft Office 365, en particulier Outlook.
Les cybercriminels, qui abusent toujours plus de la confiance qu'accordent les utilisateurs à des marques et outils connus, ont également utilisé des menaces d'ingénierie multi-plateforme pour le phishing.
Des applications de photo Android ont été utilisées dans un programme de phishing visant à voler des images.
Une campagne de phishing a utilisé la technique de « watering hole » pour voler les identifiants des utilisateurs.
Les auteurs de phishing ont abusé d'une extension de navigateur nommée SingleFile pour déguiser des pages de connexion frauduleuses.
Schémas de compromission
L'usurpation d'identité par email est une arnaque simple, mais de plus en plus coûteuse dont les entreprises doivent se méfier. Les auteurs de ces usurpations utilisent différentes techniques d'ingénierie sociale, notamment en incarnant des PDG et autres membres de la direction, pour piéger les employés afin qu'ils leur virent des fonds.
Les usurpations d'identité par email figurent dans le panorama des menaces depuis des années. Les auteurs développent de nouvelles façons d'abuser de leurs victimes. Par conséquent, ils ont également compromis des comptes de messagerie personnels et de fournisseurs, et ont imité des comptes de messagerie d'avocats. Certains cas confirment également notre prévision selon laquelle les auteurs d'usurpation d'identité par email allaient cibler les employés bien plus bas dans la hiérarchie de l'entreprise.
La sextorsion, une menace par messagerie axée sur les dommages personnels et infligés à la réputation, a également pris de l'ampleur. Nos données ont montré que les programmes de sextorsion via spam ont plus que quadruplé entre le deuxième semestre 2018 et le premier semestre 2019, ce qui correspond à la trajectoire que nous avons prévue l'année dernière. Cela n'a pas été surprenant, étant donné que la sextorsion a composé la majorité des plaintes liées à l'extorsion reçues par le FBI en 2018.
En raison de la nature personnelle et sensible de la sextorsion, les victimes risquent d'être forcées à accepter les demandes des auteurs. Lors d'un exemple spécifique en avril, des acteurs malveillants ont tenté d'extorquer de l'argent à des utilisateurs italiens en les menaçant de publier des vidéos compromettantes.
Comparaison semestrielle des détections de spams liés à de la sextorsion
. . .
Vulnérabilités
Failles matérielles
La divulgation de Meltdown and Spectre début 2018 a ouvert une nouvelle catégorie de défis dans la limitation et l'application de correctifs aux vulnérabilités. Lors du premier semestre 2019, d'autres vulnérabilités matérielles ont été découvertes.
En février, des chercheurs ont révélé une preuve de concept montrant comment les hackers pouvaient utiliser des enclaves conçues pour protéger et consulter les données dans les Software Guard Extensions (SGX) d'Intel, un ensemble d'instructions disponibles dans les processeurs Core et Xeon d'Intel.
En mai, des chercheurs ont divulgué plusieurs vulnérabilités d'échantillonnage de données microarchitecturales dans les processeurs Intel modernes. Leur impact a été démontré via les attaques côté canal ZombieLoad, Fallout et Rogue In-Flight Data Load (RIDL), avec des méthodes semblables à celles de Meltdown et Spectre. Ces attaques côté canal ont permis aux hackers d'exécuter du code ou d'exfiltrer des données.
Bugs à impact élevé
Les vulnérabilités risquées ont dominé dans le panorama des menaces lors du premier semestre 2019. La majorité des vulnérabilités signalées via notre programme Zero Day Initiative (ZDI) ont été notées avec une gravité élevée, signe de leur impact étendu.
107FAIBLES
101MOYENNES
335ÉLEVÉES
40CRITIQUES
Voici quelques vulnérabilités marquantes détectées lors du premier semestre 2019 et les dangers qu'elles constituent pour les entreprises :
CVE-2019-0708
Peut donner aux malware des capacités de propagation extrêmes
CVE-2019-1069
Peut permettre aux hackers d'accéder à des fichiers protégés
CVE-2019-5736
Peut donner aux hackers un contrôle complet sur l'hôte qui exécute un conteneur affecté
CVE-2019-1002101
Peut pousser les utilisateurs à télécharger des images de conteneur malveillantes
CVE-2019-9580
Peut exposer les serveurs à un accès non autorisé
. . .
Attaques IoT et IIoT
Botnet et worm wars
Comme nous l'avions prévu, les botnets et worms se sont combattu le contrôle des appareils exposés connectés à l'Internet des objets (IoT). Les différents concurrents essayant de dépasser et littéralement de supprimer la concurrence, notamment Bashlite et des variantes Mirai comme Omni, Hakai et Yowai, avaient cette routine en commun : rechercher les concurrents sur les objets connectés infectés, supprimer les autres malware et intégrer leurs propres charges.
Frappes sur des infrastructures critiques
L'Internet industriel des objets (IIoT) a transformé la méthode de fonctionnement des sites industriels et des infrastructures critiques, fournissant un boost inégalé d'efficacité et de visibilité sur les opérations de l'entreprise. Cependant, la convergence des technologies opérationnelles (OT) et des technologies de l'information (IT) a également amené son lot de nouveaux risques de sécurité et a causé des surfaces d'attaque supérieures.
Selon une enquête publiée en mars, 50 % des organisations interrogées ont déjà connu une attaque sur leur infrastructure critique les deux années précédentes. En 2019, les acteurs malveillants semblaient évaluer les cibles IIoT. Le groupe de piratage Xenotime, auquel on attribue le Triton, ou malware Trisis, a été vu en train d'étudier les systèmes de contrôle industriel (ICS) de réseaux d'alimentation aux États-Unis et dans la région Asie-Pacifique. Le malware a recherché et répertorié les portails de connexion à distance de ses cibles et les vulnérabilités dans ses réseaux.
. . .
LE PAYSAGE DES MENACES
Le volume des menaces par email, fichier et URL bloquées a légèrement diminué lors du deuxième trimestre : Comparaison trimestrielle des menaces par email, fichier et URL bloquées et de requêtes de réputation par email, fichier et URL au premier semestre 2019
Comparaison trimestrielle des applications Android malveillantes bloquées lors du premier semestre 2019
Comparaison trimestrielle des requêtes d'applications Android lors du premier semestre 2019
Le format PDF a dépassé de peu le format XLS en tant que type de fichier le plus courant dans les pièces jointes des spams : Répartition des types de fichiers utilisés en pièce jointe dans les spams lors du premier semestre 2019
En milieu d'année, 2019 a perçu de nombreuses menaces persistantes et furtives, ready to find and exploit vulnerabilities in processes, people, and technologies. Il n'existe pas de réponse facile pour établir une défense complète. Les entreprises et les utilisateurs doivent définir une approche multicouche pouvant combler leurs failles de sécurité spécifiques. La protection est nécessaire pour les passerelles, les réseaux, les serveurs et les endpoints. Pour les entreprises qui font face à des malware utilisant des techniques sophistiquées, des solutions qui associent un savoir-faire humain et des technologies de sécurité sont nécessaires pour mieux détecter, corréler, traiter les menaces et y répondre.
Notre rapport semestriel sur la sécurité, “Menaces évasives, effets pervasifs”, propose une analyse approfondie des menaces les plus marquantes du premier semestre 2019 et les solutions correspondantes.
. . .
Like it? Add this infographic to your site:
1. Click on the box below. 2. Press Ctrl+A to select all. 3. Press Ctrl+C to copy. 4. Paste the code into your page (Ctrl+V).
Image will appear the same size as you see above.
Recent Posts
- Ransomware Spotlight: Ransomhub
- Unleashing Chaos: Real World Threats Hidden in the DevOps Minefield
- From Vulnerable to Resilient: Cutting Ransomware Risk with Proactive Attack Surface Management
- AI Assistants in the Future: Security Concerns and Risk Management
- Silent Sabotage: Weaponizing AI Models in Exposed Containers