Palmarès des cybermenaces qui ont dominé l’actualité en 2017

  Posted On   By Bogdan Botezatu   Cybersécurité pour les entreprises

 

Les derniers mois ont entraîné une transformation radicale du paysage des cybermenaces. Les menaces traditionnelles telles que les chevaux de Troie génériques, les ransomwares et les spam bots ont été renforcés par des destructeurs de données. Alimentés par un code de type militaire qui aurait fuité de la NSA, WannaCry et GoldenEye ont fait des ravages tout au long des deuxième et troisième trimestres, fermant des entreprises et causant des pertes d’exploitation sans précédent.

 

De nouveaux vecteurs latéraux ont complété les exploits zero-day tels que EternalBlue et EternalRomance pour prendre le contrôle des entreprises. Par ailleurs, en 2017 la tendance était sur le fait de mettre l’accent sur le freeware ou les outils open-source reliés par un code personnalisé pour les transformer en arme de cyberattaque servant les intérêts des hackers.

 

Nos investigations sur les attaques ciblées et les APT en 2017 mettent en cause des outils gratuits tels que les utilitaires de récupération de mot de passe de NirSoft, tout autant que des utilitaires de chiffrement authentiques tels que DiskCryptor, ce qui rend la détection et la correction de plus en plus difficiles.

 

Ces attaques ciblées remodèlent le paysage de sécurité des entreprises et des gouvernements, car les consommateurs en sont les victimes collatérales, car les cybercriminels attirés par l’appât du gain se précipitent pour reprendre des exploits qui ont fuité et des technologies avancées de mouvement latéral dans leurs propres charges utiles.

 

Bitdefender surveille constamment son réseau mondial de plus de 500 millions de capteurs et de honeypots pour repérer les menaces émergentes ou les cyberattaques discrètes qui tentent d’échapper au radar des outils de sécurité. Les données agrégées nous permettent de brosser un tableau précis de ce qui se passe dans l’industrie et nous aident à élaborer de nouvelles mesures d’atténuation pour la prochaine génération de cybermenaces.

 

Ce rapport est basé exclusivement sur les informations collectées grâce à un large éventail de services de sécurité au cœur de GravityZone : Security for Virtualized Environments, Security for Endpoints, Security for Mobile et Security for Exchange, et des produits pour particuliers comme Bitdefender Antivirus Plus, Bitdefender Internet Security ou Bitdefender Total Security, ainsi que de Bitdefender BOX, la solution innovante pour protéger les appareils connectés du paysage IoT.

 

La télémétrie Bitdefender montre que les ransomwares sont toujours la menace la plus fréquemment rencontrée. Au cours de la seule année 2017, le nombre de nouvelles familles de ransomwares majeurs a dépassé 160, avec des dizaines, voire des centaines de variations par famille. La souche de ransomware la plus prolifique est Troldesh / Crysis, avec des centaines de sous-variantes vues à ce jour. GlobeImposter, une autre famille de ransomwares extrêmement prolifique, est en concurrence directe avec Troldesh dans le nombre de sous-variantes publiées.

 

L’écosystème des logiciels malveillants ou malwares commerciaux est intensément axé sur le développement et l’implantation de rançongiciels. Nos statistiques montrent qu’un e-mail spam sur six est accompagné d’une forme de ransomware (lien vers des sites de téléchargement, des pièces jointes truffées de ransomwares ou même des téléchargeurs JavaScript / VBS pour ransomware).

 

Un autre développement spectaculaire dans le paysage des menaces en 2017 est la réapparition de Qbot (également connu sous le nom de Brresmon ou Emotet), un ver polyvalent, qui se répand par le réseau, ayant des fonctionnalités de porte dérobée (backdoor) qui existe depuis des années. Il est réapparu récemment avec une refonte significative de son infrastructure de commande et de contrôle et, plus important encore, avec un moteur polymorphe basé sur le cloud qui lui permet de prendre un nombre pratiquement illimité de formes pour éviter la détection par un antivirus.

 

Les ransomwares spécifiquement destinés aux entreprises c’est la nouvelle norme. Depuis la réapparition en mars dernier de la famille de ransomware Troldesh, les entreprises ont été confrontées à des attaques extrêmement ciblées qui abusent du Remote Desktop Protocol pour se connecter à l’infrastructure, puis infecter manuellement les ordinateurs. Les ransomwares comme Troldesh et GlobeImposter ont des outils de mouvement latéraux (similaire à Mimikatz) pour infecter l’organisation ou l’entreprise et ont des mécanismes de nettoyage des logs dans le système pour pas qu’ils soient détectés et ne pas retrouver la provenance de l’infection.

 

Les mineurs de crypto-monnaie ont adopté plusieurs formes et approches en 2017. Les mineurs de monnaies illicites traditionnels se sont empressés d’adopter des tactiques de mouvement latéral telles que les exploits EternalBlue et EternalRomance, prétendument originaires de la NSA, pour infecter les ordinateurs des entreprises et augmenter les efforts miniers. L’exemple type de cette catégorie est le malware crypto-mineur Adylkuzz, qui est apparu au début du mois de mai, à peu près en même moment que WannaCry.

 

Un autre changement marquant est celui des attaquants qui intègrent un code pour miner de la cryptomonnaie dans des sites web compromis afin d’atteindre un public plus large et augmenter le rendement minier.