D’après WatchGuard les malwares basés sur des mineurs de cryptomonnaies prennent de l’ampleur, et devraient continuer à se multiplier

Par:
admin

mar, 31/07/2018 - 11:00

WatchGuard Technologies présente les résultats de son Rapport sur la Sécurité Internet pour le premier trimestre 2018, qui révèle que 98,8% des variantes de banals malwares Linux/Downlader étaient en fait conçus pour délivrer un mineur de cryptomonnaie connu basé sur Linux. Ceci constitue un signe parmi d’autres que les malwares malicieux de crypto minage deviennent une des tactiques préférées des cyber criminels. Le rapport au complet détaille les mécanismes de livraison de ces attaques via des crypto mineurs, et passe en revue d’autres menaces importantes qui ciblent actuellement les PME et les entreprises distribuées.

“Notre équipe du Threat Lab a découvert de multiples indicateurs qui suggèrent que les crypto mineurs malicieux figurent désormais en bonne place dans l’arsenal des cyber criminels, et que leur usage va continuer à croître au second trimestre,” a déclaré Corey Nachreiner, chief technology officer chez WatchGuard Technologies. “Même si les ransomwares et d’autres menaces avancées sont toujours d’importants sujets d’inquiétude, ces nouvelles attaques via des crypto mineurs illustrent que les criminels ajustent constamment leurs tactiques pour mieux duper leurs victimes. Une nouvelle fois ce trimestre, nous avons constaté que près de la moitié des malwares sont passés au travers des solutions antivirus basées sur des signatures grâce à diverses méthodes de dissimulation. Un moyen pour toute organisation de se protéger contre ce type d’attaque sophistiquée est de déployer des défenses basées sur des outils de prévention avancée des malwares tels que notre service APT Blocker.

Le Rapport sur la Sécurité Internet de WatchGuard fournit chaque trimestre des analyses en profondeur de principales cyber menaces, ainsi que des recommandations de sécurité que les PME peuvent utiliser pour se protéger elles mêmes. Ses résultats sont basés sur les données fournies par des dizaines de milliers de boîtiers UTM Firebox installés à travers le monde. Les principales conclusions du rapport du premier trimestre 2018 comprennent :

  • Les mineurs de cryptomonnaies sont en hausse. Plusieurs mineurs de cryptomonnaies sont apparus pour la première fois dans la liste des 25 principales variantes de malwares de WatchGuard. Les boîtiers Firebox intègrent une règle appellée Linux/Downloader, qui capture une variété de programmes Linux “dropper” ou “downloader” qui téléchargent et activent des malwares. Généralement, ces programmes téléchargent un large éventail de malwares, mais au premier trimestre 2018, 98,8% des programmes identifiés de ce type ont essayé de télécharger le même crypto mineur courant basé sur Linux. Les données déjà récoltées sur le second trimestre indiquent que les malwares de crypto minage resteront dans la liste des 25 principaux malwares de WatchGuard et même rentreront dans le Top 10 d’ici la fin du trimestre.
  • Le cheval de Troie Ramnit fait son retour en Italie. Le seul malware figurant dans le Top 10 de WatchGuard ce trimestre qui n’est pas apparu dans les rapports précédents est Ramnit, un cheval de Troie qui a émergé pour la première fois en 2010 avec une brève résurgence en 2016. Près de la totalité (98,9%) des malwares Ramnit détectés par WatchGuard l’ont été en Italie, ce qui indique une campagne ciblée. Les versions précédentes de Ramnit ayant ciblé des identifiants bancaires, WatchGuard a recommandé aux italiens de prendre des précautions toutes particulières concernant leurs informations bancaires, et d’installer des systèmes d’authentification multifacteurs pour leurs comptes de banque en ligne.
  • Pour la première fois, la zone Asie Pacifique recueille le plus fort volume de malwares. Dans les rapports précédents, la zone Asie Pacifique était largement derrière les zones EMEA et Amérique en nombre de malwares signalés. Mais au premier trimestre 2018, c’est cette zone qui a globalement enregistré le plus de malwares. La vaste majorité de ces attaques ont été le fait de malwares basés sur Windows, et 98% d’entre elles ont ciblé l’Inde et Singapour.
  • Près de la moitié des malwares détectés sont passés au travers des solutions antivirus traditionnelles. Les boîtiers UTM WatchGuard bloquent les malwares en utilisant à la fois des techniques de détection traditionnelles basées sur des signatures et une solution proactive de détection comportementale beaucoup plus moderne - APT Blocker. Lorsqu’APT Blocker capture une variante de malware, cela veut dire que les signatures antivirus tradtionnelles l’ont manqué. Ces malwares ‘zero day’ (un terme qui désigne les malwares capables de contourner les antivirus traditionnels basés sur des signatures) ont représenté 46% de tous les malwares détectés au premier trimestre. Ce niveau élevé suggère que les criminels continuent d’utiliser des techniques de dissimulation conçues pour leurrer les antivirus traditionnels, ce qui souligne l’importance des défenses basées sur l’analyse comportementale.
  • Mimikatz cible les US, oublie l’Asie Pacifique. Le malware Windows de vol d’identifiants Mimikatz est réapparu dans la liste des 10 principaux malwares de WatchGuard après plusieurs trimestres d’absence. Les deux tiers des détections ont eu lieu aux Etats Unis et moins de 0,1% d’entre elles ont eu pour cadre la zone Asie Pacifique, peut être en raison de la complexité des caractères à double octet dans des pays tels que le Japon qui utilisent des mots de passe basés sur des symboles.

Le rapport contient également une description détaillée de l’attaque DDoS de 1,35 Tbit/sec sur GitHub, ainsi qu’une analyse des principaux malwares et des principales attaques réseau rencontrés durant le trimestre, complétée par les tactiques de défense pour les PME.

Les conclusions de ce trimestre sont basées sur des données Firebox Feed anonymes provenant de près de 40.000 boîtiers UTM WatchGuard en service à travers le monde, qui ont bloqué plus de 23 millions de variantes de malwares (628 par boîtier) et plus de 10 millions d’attaques réseau (278 par boîtier) au premier trimestre 2018.

Pour plus d’informations, le rapport complet est disponible ici. Pour accéder à des informations sur les menaces en temps réel par type, région et date, découvrez l’outil de visualisation Threat Landscape.