Ajouter un commentaire

91,5% des malwares sont diffusés via des connexions chiffrées HTTPS selon un rapport WatchGuard ThreatLab

Par:
fredericmazue

ven, 01/10/2021 - 13:08

WatchGuard Technologies vient de publier son dernier rapport trimestriel sur la sécurité Internet. Le rapport détaille les principales tendances en matière de malwares et menaces ciblant les réseaux, analysées par les chercheurs du WatchGuard Threat Lab au cours du deuxième trimestre 2021.

Le rapport du WatchGuard Threat Lab comprend également de nouvelles informations basées sur les renseignements relatifs aux menaces sur les endpoints, détectées au cours du premier semestre 2021. Les principaux résultats de la recherche ont révélé une proportion étonnante de 91,5 % de logiciels malveillants propagés via des connexions chiffrées HTTPS, une augmentation inquiétante du volume de malwares sans fichier, une croissance spectaculaire des ransomwares (WatchGuard estime que le volume d’attaques par ransomware aura augmenté de 150% en 2021 par rapport à 2020), des attaques réseau, et bien plus encore.

Corey Nachreiner, Chief Security Officer de WatchGuard commente : « Une grande partie du monde fonctionne encore largement dans un mode de travail mobile ou hybride, et malheureusement le périmètre traditionnel du réseau n'entre pas toujours en ligne de compte dans l'équation de la défense de la cybersécurité. Si une solide défense périmétrique reste un élément important d'une approche de sécurité en couches, une solide protection des endpoints (EPP) et une détection & réponse au niveau des endpoints (EDR) sont de plus en plus essentielles ».

Parmi ses conclusions les plus notables, le rapport de WatchGuard en matière de sécurité Internet pour le deuxième trimestre 2021 révèle :

  • Des quantités massives de malware sont diffusées via des connexions chiffrées - Au deuxième trimestre, 91,5 % des logiciels malveillants sont propagés par une connexion chiffrée, ce qui représente une augmentation spectaculaire par rapport au trimestre précédent. En d'autres termes, toute organisation qui n'utilise pas le chiffrement HTTPS passe à côté de 9/10ème de tous les logiciels malveillants sur le périmètre.
  • Les logiciels malveillants utilisent des outils PowerShell pour contourner les protections, y compris les plus robustes - AMSI.Disable.A est apparu dans la section des malwares de WatchGuard pour la première fois au premier trimestre connaissant immédiatement une forte progression au cours du trimestre, atteignant la deuxième place de la liste en termes de volume et la première place pour l'ensemble des menaces chiffrées. Cette famille de malwares utilise des outils PowerShell pour exploiter diverses vulnérabilités de Windows. Mais ce qui la rend particulièrement intéressante, c'est sa technique d'évasion. WatchGuard a découvert que AMSI.Disable.A manie un code capable de désactiver l'interface d'analyse antimalware (AMSI) dans PowerShell, ce qui lui permet de contourner les contrôles de sécurité des scripts avec sa charge utile malveillante sans être détecté.
  • Les menaces sans fichier (fileless malwares) montent en flèche et deviennent encore plus évasives - Au cours des six premiers mois de l'année 2021, les détections de logiciels malveillants provenant de moteurs de script comme PowerShell ont déjà atteint 80 % du volume total des attaques initiées par script de l'année dernière, ce qui représente une augmentation substantielle par rapport à l'année précédente. Au rythme actuel, les détections de logiciels malveillants sans fichier en 2021 sont en passe de doubler en volume par rapport à l'année précédente.
  • Les attaques réseau sont en plein essor malgré le passage à une main d'œuvre travaillant principalement à distance - Les appliances WatchGuard ont détecté une augmentation substantielle des attaques réseau, qui ont augmenté de 22 % par rapport au trimestre précédent et ont atteint le volume le plus élevé depuis début 2018. Le premier trimestre a vu près de 4,1 millions d'attaques réseau. Au cours du trimestre suivant, ce nombre a encore bondi d'un million - traçant une trajectoire agressive qui souligne l'importance croissante du maintien de la sécurité du périmètre aux côtés des protections axées sur l'utilisateur.
  • Les attaques par ransomware reviennent en force - Alors que le nombre total de détections de ransomware sur les endpoints était en baisse de 2018 à 2020, cette tendance s'est interrompue au premier semestre 2021, le total semestriel ayant terminé juste à côté du total annuel de 2020. Si les détections quotidiennes de ransomware restent stables jusqu'à la fin de l'année 2021, le volume de cette année atteindra une augmentation de plus de 150 % par rapport à 2020.
  • Les attaques de ransomware de grande envergure éclipsent les attaques de type « shotgun blast ». La désormais célèbre attaque Colonial Pipeline a démontré que les cybercriminels ne se contentent pas de cibler les services les plus vitaux - tels que les hôpitaux ou encore les infrastructures industrielles critiques - mais qu’ils semblent également intensifier les attaques à l’encontre de très grandes entreprises. WatchGuard examine – à travers l’analyse des incidents - les retombées des attaques et ce que l'avenir réserve à la sécurité des infrastructures critiques ainsi que les mesures que les organisations de tous les secteurs peuvent prendre pour se défendre contre ces attaques et ralentir leur propagation.
  • Les anciens services continuent de s'avérer des cibles de choix - Contrairement à l'habitude d'une ou deux nouvelles signatures observées dans les rapports trimestriels précédents, quatre nouvelles signatures figuraient parmi les 10 principales attaques réseau de WatchGuard au deuxième trimestre. La plus récente est une vulnérabilité 2020 dans le langage de script Web PHP, mais les trois autres ne sont pas nouvelles du tout. Il s'agit d'une vulnérabilité Oracle GlassFish Server de 2011, d'une faille d'injection SQL de 2013 dans l'application de dossiers médicaux OpenEMR et d'une vulnérabilité d'exécution de code à distance (RCE) de 2017 dans Microsoft Edge. Bien que datées, toutes présentent encore des risques si elles ne sont pas corrigées.
  • Les menaces basées sur Microsoft Office restent populaires - Le deuxième trimestre a vu un nouvel ajout à la liste des 10 attaques réseau les plus répandues, et il a fait ses débuts tout en haut de la liste. La signature, 1133630, est la vulnérabilité RCE de 2017 mentionnée ci-dessus qui affecte les navigateurs Microsoft. Bien qu'il s'agisse d'un ancien exploit et qu’un correctif ait été mis en place, ceux qui n'ont pas encore appliqué de correctif risquent d'avoir un réveil brutal si un attaquant parvient à l'atteindre avant eux. En fait, une faille de sécurité RCE très similaire et de haute gravité, connue sous le nom de CVE-2021-40444, a fait les gros titres au début du mois lorsqu'elle a été activement exploitée dans le cadre d’attaques ciblées contre Microsoft Office et Office 365 sur des ordinateurs Windows 10. Les menaces basées sur Office restent populaires en matière de logiciels malveillants, c'est pourquoi WatchGuard continue de repérer des attaques de ce type. Heureusement, elles sont toujours détectées par les défenses IPS éprouvées.
  • Les domaines de phishing se font passer pour des domaines légitimes et largement reconnus - WatchGuard a observé une augmentation de l'utilisation de malwares ciblant récemment les serveurs Microsoft Exchange et les utilisateurs de messagerie générique pour télécharger des Trojan d'accès à distance (RAT) dans des lieux hautement sensibles. Il est conseillé d'être très attentif à la sécurité et de surveiller les communications sortantes sur les appareils qui ne sont pas nécessairement connectés directement aux appareils connectés.

Filtered HTML

Plain text

CAPTCHA
Cette question permet de vérifier que vous n'êtes pas un robot spammeur :-)
  CCC  TTTTTT  FFFF   CCC      J 
C TT F C J
C TT FFF C J
C TT F C J J
CCC TT F CCC JJJ