Etude WatchGuard : Les solutions anti-malwares traditionnelles ne détectent pas 75% des cyber menaces

Par:
fredericmazue

mar, 20/07/2021 - 10:00

Cette nouvelle version du rapport sur la sécurité Internet de WatchGuard met en évidence des volumes record de malwares de type Zero-Day, une hausse des attaques réseau, les principales attaques de malwares survenues au dernier trimestre, et plus encore.

WatchGuard Technologies publié son rapport sur la sécurité Internet pour le 1er trimestre 2021. D’après les principales conclusions de l’étude, 74 % des menaces détectées au dernier trimestre étaient des malwares de type Zero-Day, autrement dit des menaces qui, au moment de leur diffusion, n’ont pas été identifiées par les solutions antivirus classiques basées sur les signatures et ont donc pu les contourner.

Le rapport se penche également sur l’augmentation du nombre d’attaques réseau, la manière dont les cybercriminels tentent de maquiller et de recycler d’anciens exploits, les principales attaques de malwares au dernier trimestre, etc.

Corey Nachreiner, Chief Security Officer chez WatchGuard explique : « Au dernier trimestre, les détections de malwares de type Zero-Day ont atteint un niveau sans précédent. Les malwares évasifs ont en fait éclipsé les menaces traditionnelles. Un signe de plus que les entreprises ont tout intérêt à faire évoluer leurs défenses si elles veulent garder une longueur d’avance sur des cybercriminels aux méthodes de plus en plus sophistiquées. Les solutions anti-malware traditionnelles ne font pas le poids face aux menaces actuelles. Chaque entreprise a besoin d’une stratégie de sécurité proactive et multiniveau s’appuyant sur le Machine Learning et l’analyse comportementale pour détecter et bloquer les menaces nouvelles et avancées ».  

Le rapport de WatchGuard sur la sécurité Internet du 1er trimestre 2021 contient d’autres résultats clés, notamment :

  • Une variante de malware sans fichier gagne en popularité : XML.JSLoader est une charge utile malveillante qui fait pour la première fois son apparition dans le classement WatchGuard des malwares les plus importants en termes de volume et dans celui des malwares les plus répandus. C’est aussi la variante la plus souvent détectée par WatchGuard via l’inspection HTTPS au 1er trimestre. L’échantillon identifié par WatchGuard utilise une attaque XXE (XML External Entity) pour ouvrir un shell et exécuter des commandes afin de contourner la politique d’exécution locale de PowerShell. L’attaque s’exécute de manière non interactive, à l’insu de l’utilisateur ou de la victime. Il s’agit d’un autre exemple de la prévalence croissante des malwares sans fichier, qui confirme la nécessité de mettre en place des fonctions avancées de détection et de réponse aux menaces sur les terminaux.
  • Une simple astuce au niveau du nom de fichier permet aux pirates de faire passer un chargeur de ransomware pour un PDF légitime en pièce jointe : le chargeur de ransomware Zmutzy se classe parmi les deux principales variantes de malware chiffré en termes de volume au 1er trimestre. Associée au ransomware Nibiru, cette menace se propage par le biais d’un fichier zippé joint à un email ou d’un téléchargement depuis un site Web malveillant. L’exécution du fichier zip télécharge un exécutable qui se présente comme un PDF tout à fait légitime aux yeux de la victime. Les attaquants ont remplacé le point par une virgule dans le nom du fichier et ont modifié manuellement l’icône pour faire passer le fichier zip malveillant pour un PDF. Ce type d’attaque montre à quel point il est important de sensibiliser et de former les utilisateurs au phishing, mais aussi de mettre en œuvre des solutions de sauvegarde pour le cas où une variante telle que celle-ci provoquerait une infection par ransomware.
  • Les cybercriminels poursuivent leurs attaques contre les appareils IoT : bien qu’elle ne figure pas dans la liste WatchGuard des 10 principaux malwares au 1er trimestre, la variante Linux.Ngioweb.B a récemment été utilisée par des cybercriminels pour cibler les appareils IoT. La première version de cette menace visait les serveurs Linux exécutant WordPress et se présentait initialement sous forme de fichier EFL (Extended Format Language). Une autre version de ce malware transforme les appareils IoT en botnet avec des serveurs de commande et de contrôle tournants.
  • Les attaques réseau bondissent de plus de 20 % : les appliances WatchGuard ont détecté plus de 4 millions d’attaques réseau soit une progression de 21 % par rapport au trimestre précédent et le volume le plus élevé depuis le début de l’année 2018. Malgré le passage au travail à distance et en mode hybride, les serveurs et les actifs d’entreprise sur site restent des cibles de grande valeur pour les cybercriminels. Les entreprises doivent par conséquent maintenir la sécurité du périmètre parallèlement aux protections axées sur l’utilisateur.
  • Une ancienne technique d’attaque par traversée de répertoire fait son retour : au 1er trimestre, WatchGuard a identifié une nouvelle signature de menace liée à une attaque par traversée de répertoire via des fichiers CAB (cabinet), un format d’archivage Microsoft avec compression des données sans perte et certificats numériques intégrés. Cet exploit vient s’ajouter au palmarès WatchGuard des 10 principales attaques réseau. Il incite les utilisateurs à ouvrir un fichier CAB malveillant au moyen de techniques classiques ou en usurpant une imprimante connectée au réseau pour les inviter à installer un pilote d’imprimante via un fichier CAB compromis.
  • Les menaces Zero-Day HAFNIUM fournissent des renseignements sur les tactiques de menace et les meilleures pratiques de réponse : le trimestre dernier, Microsoft a signalé l’exploitation de quatre vulnérabilités HAFNIUM dans diverses versions d’Exchange Server. Le but des pirates : l’exécution complète et non authentifiée de code à distance et un accès arbitraire en écriture aux fichiers sur tout serveur dépourvu de correctifs exposé à Internet, ce qui est le cas de la plupart des serveurs de messagerie. L’analyse des incidents réalisée par WatchGuard examine en détail les vulnérabilités et souligne l’importance de l’inspection HTTPS, de l’application rapide de correctifs et du remplacement des anciens systèmes.
  • Les cybercriminels détournent des domaines légitimes lors de campagnes de cryptominage : au 1er trimestre, le service DNSWatch de WatchGuard a bloqué plusieurs domaines compromis et malveillants associés à des menaces de cryptominage. Les malwares de cryptominage sont de plus en plus populaires en raison de la récente flambée des prix sur le marché des cryptomonnaies et de la facilité avec laquelle les cybercriminels peuvent siphonner les ressources de victimes peu méfiantes.

Les rapports trimestriels de WatchGuard s’appuient sur les données anonymisées du flux provenant des appliances Firebox actives, que leurs propriétaires ont accepté de partager afin de soutenir les efforts de recherche du Threat Lab. Au 1er trimestre, WatchGuard a bloqué en tout plus de 17,2 millions de variantes de malware (461 par appliance) et près de 4,2 millions de menaces réseau (113 par appliance). Le rapport complet fournit des informations sur d’autres tendances en matière de malwares et de réseau au 1er trimestre 2021, ainsi qu’une analyse détaillée des exploits HAFNIUM visant Microsoft Exchange Server, des conseils de défense majeurs, entre autres.