2021, année d’explosion du nombre de malwares et ransomwares ciblant les endpoints
jeu, 20/01/2022 - 12:53
WatchGuard Technologies a publié es résultats de son dernier rapport trimestriel sur la sécurité Internet. Ce rapport met en évidence les principales tendances en matière de malwares et menaces pour la sécurité réseau au troisième trimestre 2021, analysées par les chercheurs du Threat Lab de WatchGuard. Les données indiquent que si le volume total de détections de malwares dans le périmètre a diminué par rapport aux sommets atteints au trimestre précédent, les détections de malwares sur les endpoints ont quant à elles déjà dépassé le volume total observé en 2020 (les données du quatrième trimestre 2021 n’ayant pas encore été communiquées). En outre, un pourcentage important de malwares continue de mettre à profit des connexions chiffrées, confirmant la tendance des trimestres précédents.
Les rapports de recherche trimestriels de WatchGuard sont basés sur des données anonymisées provenant d’appliances Firebox actives chez les clients WatchGuard et dont les propriétaires ont choisi de partager les données pour soutenir directement les efforts de recherche du Threat Lab. Au troisième trimestre 2021, WatchGuard a bloqué plus de 16,6 millions de variantes de malwares et près de 4 millions de menaces réseau.
Corey Nachreiner, Chief Security Officer chez WatchGuard commente : « Alors que le volume total d’attaques réseau a légèrement diminué au troisième trimestre, le nombre de malwares détectés par terminal a progressé pour la première fois depuis le début de la pandémie. Mais il est important que les entreprises voient plus loin que les fluctuations à court terme pour se concentrer sur les tendances persistantes et préoccupantes telles que l’utilisation accélérée des connexions chiffrées dans les attaques Zero-Day ».
Parmi ses conclusions les plus notables, le rapport sur la sécurité Internet du troisième trimestre 2021 de WatchGuard révèle ce qui suit :
- Près de la moitié des malwares Zero-Day sont désormais diffusés via des connexions chiffrées – Alors que le nombre total de malwares 0-Day a connu une augmentation modeste de 3 % pour atteindre 67,2 % de l’ensemble des malwares au troisième trimestre, le pourcentage de malwares diffusés via le protocole TLS (Transport Layer Security) a grimpé de 31,6 % à 47 %. Même si une moindre proportion des attaques Zero-Day chiffrées sont considérées comme avancées, la situation reste préoccupante d’après les données de WatchGuard : celles-ci montrent en effet qu’un grand nombre d’organisations ne déchiffrent pas ces connexions et ont donc une mauvaise visibilité sur la quantité de malwares qui pénètrent leurs réseaux.
- Les cybercriminels ciblent les nouvelles vulnérabilités au fur et à mesure que les utilisateurs passent à des versions plus récentes de Microsoft Windows et Office – Si les vulnérabilités non corrigées des anciens logiciels restent un terrain de chasse prisé des cybercriminels, ces derniers cherchent également à exploiter les faiblesses des toutes dernières versions des produits Microsoft les plus répandus. Au troisième trimestre, CVE-2018-0802, qui exploite une vulnérabilité dans l’éditeur d’équations de Microsoft Office, est entré dans le top 10 des malwares les plus détectés par WatchGuard Gateway AntiVirus (6ème place) après être entré dans le classement pour la 1ère fois lors du trimestre précédent. En outre, deux injecteurs de code Windows (Win32/Heim.D et Win32/Heri) sont respectivement arrivés numéro 1 et numéro 6 du classement des malwares les plus détectés.
- Les cybercriminels ont beaucoup plus ciblé le continent américain – L’écrasante majorité des attaques réseau ont ciblé le continent américain au troisième trimestre (64,5 %), en comparaison de l’Europe (15,5 %) et de la région Asie-Pacifique (20 %).
- Les détections globales d’attaques réseau ont repris une trajectoire plus normale mais présentent toujours des risques importants – Après plusieurs trimestres consécutifs de croissance dépassant les 20 %, le service Intrusion Prevention Service (IPS) de WatchGuard a détecté environ 4,1 millions d’exploits réseau uniques au troisième trimestre. La baisse de 21 % a ramené les volumes aux niveaux du premier trimestre, qui étaient déjà élevés par rapport à l’année précédente. Cette inversion de tendance ne traduit pas nécessairement un relâchement des cybercriminels, il est possible qu’ils concentrent leurs efforts sur des attaques plus ciblées.
- Les 10 principales signatures d’attaques réseau sont responsables de la grande majorité des attaques – Sur les 4 095 320 accès détectés par IPS au troisième trimestre, 81 % ont été attribués aux 10 principales signatures. De fait, une seule nouvelle signature a fait son entrée dans le top 10 au troisième trimestre : « WEB Remote File Inclusion /etc/passwd » (1054837), qui cible les serveurs Web Microsoft Internet Information Services (IIS) plus anciens, mais toujours largement utilisés. Une signature (1059160), une injection SQL, a conservé la position de tête de liste qu’elle occupe depuis le deuxième trimestre 2019.
- Les attaques de script sur les endpoints se poursuivent à un rythme record – À la fin du troisième trimestre, les solutions WatchGuard AD360 de renseignements sur les menaces et Endpoint Protection Detection and Response (EPDR) constataient déjà une hausse de 10 % des scripts d’attaque par rapport à l’ensemble de l’année 2020 (qui avait elle-même connu une augmentation de 666 % par rapport à l’année précédente). Tandis que le modèle de travail hybride commence à s’imposer comme la règle plutôt que l’exception, un périmètre robuste ne suffit plus pour arrêter les menaces. Bien qu’il existe plusieurs façons pour les cybercriminels d’attaquer les endpoints (des exploits d’applications aux attaques de type hors sol basées sur des scripts), même ceux dont les compétences sont limitées peuvent souvent exécuter entièrement une charge utile malveillante avec des outils de script tels que PowerSploit, PowerWare et Cobalt Strike, tout en échappant à la détection de base sur les endpoints.
- Même les domaines normalement sûrs peuvent être compromis – Une faille de protocole dans le système Exchange Server Autodiscover de Microsoft a permis à des cybercriminels de collecter les informations d’identification de domaine et de compromettre plusieurs domaines normalement dignes de confiance. Au total, au troisième trimestre, les appliances Firebox WatchGuard ont bloqué 5,6 millions de domaines malveillants, y compris plusieurs nouveaux domaines de malwares qui tentent d’installer des logiciels de cryptominage, des enregistreurs de frappe et des chevaux de Troie d’accès à distance (RAT), ainsi que des domaines de phishing se faisant passer pour des sites SharePoint pour récolter les identifiants de connexion Office365. Bien qu’en baisse de 23 % par rapport au trimestre précédent, le nombre de domaines bloqués reste plusieurs fois supérieur au niveau observé au quatrième trimestre 2020 (1,3 million). Cela montre combien il est crucial que les organisations veillent à mettre à jour leurs serveurs, bases de données, sites Web et autres systèmes avec les derniers correctifs afin de limiter les vulnérabilités exploitables par les cybercriminels.
- Les ransomwares, encore et toujours – Après une forte baisse en 2020, les attaques de ransomware atteignaient 105 % du volume de 2020 à la fin septembre (conformément aux prévisions de WatchGuard à la fin du trimestre précédent) ; elles devraient atteindre 150 % une fois les données complètes de l’année 2021 analysées. Les opérations Ransomware-as-a-Service continuent de mettre la barre plus bas pour les criminels avec peu ou pas de compétences en programmation, en fournissant l’infrastructure et les charges utiles malveillantes pour mener des attaques à l’échelle mondiale en échange d’un pourcentage de la rançon.
- Le plus gros incident de sécurité du trimestre, Kaseya, a une fois de plus démontré la menace continue que représentent les attaques visant la supply chain – Juste avant le début du long week-end du 4juillet aux États-Unis, des dizaines d’organisations ont commencé à signaler des attaques de ransomware à l’encontre de leurs endpoints. L’analyse d’incident de WatchGuard a décrit la manière dont les cybercriminels travaillant avec l’opération Ransomware-as-a-Service (RaaS) REvil ont exploité trois vulnérabilités Zero Day (y compris CVE-2021-30116 et CVE-2021-30118) dans le logiciel Remote Monitoring and Management (RMM) de Kaseya VSA pour diffuser des ransomwares auprès de quelque 1 500 organisations et potentiellement plusieurs millions d’endpoints. Si le FBI a fini par compromettre les serveurs de REvil et obtenir la clé de déchiffrement quelques mois plus tard, cette attaque a brutalement rappelé la nécessité pour les organisations de prendre des mesures proactives telles que l’adoption du modèle Zero Trust, l’utilisation du principe du moindre privilège pour l’accès des fournisseurs et l’application des correctifs et mises à jour sur les systèmes pour minimiser l’impact des attaques sur la chaîne d’approvisionnement.