Au 1er trimestre 2022, le volume de ransomwares a déjà atteint le double du total de l’année 2021 selon un rapport WatchGuard
mer, 29/06/2022 - 11:34
WatchGuard a présenté les résultats de son tout dernier Rapport trimestriel sur la sécurité Internet. Ce rapport présente les grandes tendances en matière de malwares et de menaces pour la sécurité des réseaux, analysées par les chercheurs du Threat Lab de WatchGuard. Les principales conclusions de l’étude révèlent notamment que les détections de ransomware au cours du premier trimestre 2022 représentent le double du volume total enregistré pour 2021, que le botnet Emotet est revenu en force, que la tristement célèbre vulnérabilité Log4Shell a triplé ses efforts d’attaque et que les activités malveillantes autour du cryptominage ont augmenté.
Corey Nachreiner, Chief Security Officer chez WatchGuard commente : « Compte tenu de la hausse des ransomwares en ce début d’année et des données issues des trimestres précédents, nous prévoyons que 2022 établira un nouveau record de détections annuelles de ransomware. Nous continuons d’exhorter les entreprises à s’engager non seulement à mettre en œuvre des mesures simples mais d’une importance capitale, mais aussi à adopter une véritable approche de sécurité unifiée, capable de s’adapter rapidement et efficacement à la croissance et à l’évolution des menaces ».
Parmi ses conclusions les plus notables, le rapport WatchGuard sur la sécurité Internet du 1er trimestre 2022 révèle ce qui suit :
- Les ransomwares explosent – Alors que les conclusions du Rapport sur la sécurité Internet du Threat Lab pour le quatrième trimestre 2021 montraient que les attaques par ransomware avaient tendance à diminuer d’année en année, tout a changé au premier trimestre 2022 avec une explosion massive des détections de ransomware. Fait marquant, le nombre d’attaques par ransomware détectées au premier trimestre atteint déjà le double du nombre total de détections pour 2021 !
- LAPSUS$ émerge suite à la chute de REvil – Le quatrième trimestre 2021 a vu la chute du cybergang REvil, ce qui, rétrospectivement, a ouvert la voie à l’émergence d’un autre groupe : LAPSUS$. L’analyse du premier trimestre de WatchGuard suggère que le groupe cybercriminels LAPSUS$ ainsi que les nombreuses nouvelles variantes de ransomware telles que BlackCat - le premier ransomware connu écrit dans le langage de programmation Rust - pourraient être autant de facteurs contribuant à un paysage de menaces marqué par l’augmentation constante des ransomwares et des cyber-extorsions.
- Log4Shell fait son entrée dans la liste des 10 principales attaques réseau – Divulguée publiquement au début du mois de décembre 2021, la vulnérabilité Apache Log4j2, également connue sous le nom de Log4Shell, a fait son entrée dans la liste des 10 principales attaques réseau à la fin de ce trimestre. Par rapport aux détections IPS agrégées au 4ème trimestre 2021, la signature Log4Shell a presque triplé au premier trimestre de cette année. Considéré comme l’incident de sécurité le plus important dans le précédent Rapport sur la sécurité Internet de WatchGuard, Log4Shell a marqué les esprits en obtenant un score CVSS de 10, soit le niveau de criticité maximal possible pour une vulnérabilité, ainsi qu’en raison de son utilisation répandue dans les programmes Java et de la facilité d’exécution de code arbitraire.
- Emotet poursuit son grand retour – Malgré les efforts des forces de l’ordre en 2021 pour le combattre, Emotet est à l’origine de trois des 10 principales détections et des logiciels malveillants les plus répandus ce trimestre, après sa résurgence au 4ème trimestre 2021. Les détections de Trojan.Vita, qui a fortement ciblé le Japon et s’est imposé parmi les cinq premiers malwares chiffrés, et de Trojan.Valyria utilisent des exploits dans Microsoft Office pour télécharger le botnet Emotet. Le troisième malware lié à Emotet, MSIL.Mensa.4, peut se propager sur des dispositifs de stockage connectés et a principalement ciblé des réseaux aux États-Unis. Les données du Threat Lab indiquent qu’Emotet agit comme un dropper, téléchargeant et installant le fichier à partir d’un serveur de diffusion de malwares.
- Les scripts PowerShell mènent la charge dans la hausse des attaques à l’encontre des endpoints – Au premier trimestre, le nombre total de détections sur des endpoints a augmenté d’environ 38 % par rapport au trimestre précédent. Les scripts, en particulier les scripts PowerShell, ont été le vecteur d’attaque dominant. Représentant 88 % de l’ensemble des détections, les scripts ont, à eux seuls, permis de dépasser le nombre total de détections sur des endpoints enregistré au trimestre précédent. Les scripts PowerShell ont été à l’origine de 99,6 % des détections de scripts au premier trimestre, ce qui montre que les cybercriminels se tournent vers les attaques sans fichier et les attaques de type hors sol à l’aide d’outils légitimes. Bien que ces scripts soient le choix évident des cybercriminels, les données de WatchGuard montrent que les autres sources d’origine des malwares ne doivent pas être négligées pour autant.
- Des opérations de cryptominage légitimes associées à des activités malveillantes – Les trois nouveaux ajouts à la liste des principaux domaines de malwares au premier trimestre étaient liés à Nanopool. Cette plateforme populaire regroupe des activités de minage de cryptomonnaies pour permettre des rendements réguliers. Ces domaines sont techniquement des domaines légitimes associés à une organisation légitime. Mais les connexions à ces coopératives de mineurs émanant d’un réseau éducatif ou d’entreprise sont presque toujours le fait d’infections par des malwares, et non d’opérations de minage légitimes.
- Les entreprises restent confrontées à un large éventail d’attaques réseau uniques – Alors que les 10 principales signatures IPS ont représenté 87 % de toutes les attaques réseau, les détections uniques ont atteint leur chiffre le plus élevé depuis le premier trimestre 2019. Cette augmentation indique que les attaques automatisées se concentrent sur un sous-ensemble plus restreint d’exploits potentiels au lieu de ratisser large. Mais les entreprises sont toujours confrontées à une grande diversité de détections.
- La région EMEA reste la cible privilégiée des menaces de type malware – Les détections régionales globales de malware de base et évasifs montrent que les appliances WatchGuard Firebox de la région Europe, Moyen-Orient et Afrique (EMEA) ont été plus durement touchées que celles de la région Amérique du Nord, centrale et du Sud (AMER), à 57 % et 22 % respectivement, suivies de la région Asie-Pacifique (APAC) à 21 %.