Check Point Software Technologies Ltd a dévoilé son rapport “Global Threat Intelligence Trends” pour le 2ème semestre 2016, révélant par la même occasion un doublement des attaques de rançongiciels (“ransomware”) pendant cette période. Parmi l’ensemble des incidents identifiés à travers le monde comme relevant de maliciels, le pourcentage d’attaques de rançongiciels est passé de 5,5% à 10,5% entre juillet et décembre 2016.
Le rapport “Global Threat Intelligence Trends” pour le 2ème semestre 2016 met en lumière les principales tactiques qu’utilisent les cyber-criminels pour s’attaquer aux entreprises et procure une vue globale détaillée du paysage des cyber-menaces dans les principales catégories de maliciels. A savoir, les rançongiciels, les maliciels bancaires et mobiles.
Principales tendances
Les chercheurs Check Point ont détecté un certain nombre de tendances majeures pendant la période considérée
-Le Monopoly du marché des rançongiciels – des milliers de nouveaux rançongiciels ont été détectés en 2016 ; au cours des derniers mois, nous avons constaté un changement dans le paysage des rançongiciels à mesure qu’il se centralisait de plus en plus, avec quelques grandes familles de maliciels dominant le marché et s’attaquant aux entreprises et organismes de toutes tailles.
-Attaques DDoS via dispositifs IoT – le tristement célèbre réseau de zombies Mirai fut découvert en août 2016 – le premier “botnet” de type Internet des Objets. Il s’attaque à des équipements numériques vulnérables connectés à Internet tels que des magnétoscopes numériques (DVR) et des caméras de surveillance (CCTV). Il les transforme en bots, exploitant les équipements infectés pour lancer de multiples attaques massives de type déni de service distribué (Distributed Denial of Service, DDoS). On sait désormais que des dispositifs IoT vulnérables sont utilisés dans quasiment tous les foyers et que les attaques DDoS massives qui en tirent parti persisteront.
De nouvelles extensions de fichiers utilisées lors de campagnes de pourriels – le facteur d’infection le plus répandu qui ait été utilisé lors de campagnes de pourriels malveillants, tout au long du deuxième semestre 2016, a pris la forme de téléchargeurs basés sur le moteur Windows Script (WScript). Le créneau de la distribution de pourriels/maliciels a été dominé par des téléchargeurs écrits en Javascript (JS) et en VBScript (VBS) ainsi que par des variantes en formats moins habituels mais similaires, tels que JSE, WSF et VBE.
Les principaux maliciels repérés au 2ème semestre 2016
1.Conficker (14,5%) – Ver qui ouvre la voie à des exploitations distantes et à des téléchargements de maliciels. Le système infecté est contrôlé par un réseau de zombies (“botnet”) qui se connecte sur son serveur Command & Control pour recevoir des instructions.
2.Sality (6,1%) – Virus qui autorise son opérateur à procéder à des opérations distantes et à des téléchargements d’autres maliciels sur les systèmes infectés. Son principal objectif est de s’installer à demeure dans un système et de procurer des moyens pour en prendre le contrôle à distance et installer d’autres maliciels.
3.Cutwail (4,6%) – Réseau de zombies principalement impliqué dans l’envoi de messages pourriels ainsi que de certaines attaques DDoS. Une fois installé, les zombies se connectent directement au serveur de commandement et de contrôle et reçoivent des instructions au sujet des courriels qu’ils doivent envoyer. Lorsqu’ils ont effectué la tâche qui leur est dévolue, les “bots” envoient un rapport d’activité au spammeur, comportant les statistiques exactes de leur opération.
4.JBossjmx (4,5%) – Ver qui vise des systèmes sur lesquels est installée une version vulnérable du JBoss Application Server. Le maliciel génère une page JSP malveillante sur des systèmes vulnérables qui exécutent dès lors des commandes arbitraires. Par ailleurs, une autre porte dérobée est aménagée de telle sorte à pouvoir accepter des commandes venant d’un serveur IRC distant.
5.Locky (4,3%) – Rançongiciel qui a fait son apparition en février 2016 et qui se propage essentiellement par le biais de messages pourriels comportant un téléchargeur prenant l’apparence d’une pièce jointe de format Word ou Zip; le téléchargeur déclenche alors l’opération de téléchargement et d’installation du maliciel qui crypte les fichiers de l’utilisateur.
Dans la masse de toutes les attaques identifiées à l’échelle internationale, le pourcentage d’attaques par rançongiciels a pratiquement doublé dans le courant du deuxième semestre 2016. Les variantes les plus courantes qui ont été détectées sont:
1.Locky (41%) – Ce rançongiciel, qui était le troisième, en termes de fréquence, au premier semestre, a progressé de manière significative dans le courant du deuxième semestre de l’année.
2.Cryptowall (27%) – Rançongiciel qui, à l’origine, était un sosie de Cryptolocker mais a eu tôt fait de le surpasser. Après la disparition de Cryptolocker, Cryptowall s’est imposé comme l’un des rançongiciels les plus importants à ce jour. Cryptowall se distingue par son utilisation de la méthode de chiffrement AES et par son mode de diffusion de ses communications C&C, en l’occurrence via le réseau anonyme Tor. Il se diffuse très largement par le biais de kits d’exploitation, de messages publicitaires malveillants et de campagnes d’hameçonnage.
3.Cerber (23%) – le mécanisme de “ransomware-as-a-service” le plus important au monde. Cerber adopte un modèle de franchise, son auteur recrutant des affiliés qui diffusent le maliciel en contrepartie d’un pourcentage sur les bénéfices.
Les principaux maliciels mobiles repérés au 2ème semestre 2016
1.Hummingbad (60%) – Maliciel Android qui a été découvert pour la première fois par l’équipe de chercheurs Check Point. Il greffe un rootkit persistant sur le système, installe des applications frauduleuses et, moyennant de légères modifications, pourrait permettre que se développent d’autres activités malveillantes telles que l’installation d’un enregistreur de frappe (“key-logger”), le vol d’identifiants et le contournement de conteneurs de courriels chiffrés utilisés par les entreprises.
2.Triada (9%) – Porte dérobée modulaire pour dispositifs Android qui octroie des privilèges de super-utilisateur à un maliciel préalablement téléchargé et l’aide à s’incruster dans les processus du système. On a également constaté que Triada usurpe des URL chargées dans le navigateur.
3.Ztorg (7%) – Cheval de Troie qui utilise des privilèges root pour télécharger et installer des applications sur le téléphone mobile sans que l’utilisateur s’en aperçoive.
Les principaux maliciels bancaires
1.Zeus (33%) – Cheval de Troie qui vise les plates-formes Windows et est souvent utilisé pour dérober des informations bancaires en procédant par capture de frappe de type “l’homme dans le navigateur’ et par récupération de formulaires.
2.Tinba (21%) – Cheval de Troie bancaire qui subtilise les identifiants de la victime en recourant à des injections Web. Il s’active lorsque l’utilisateur tente de s’identifier sur le site Interne de sa banque.
3.Ramnit (16%) – Cheval de Troie bancaire qui dérobe des identifiants bancaires, des mots de passe FTP passwords, des cookies de session et des données personnelles.
“Le rapport expose la nature du cyber-environnement qui est aujourd’hui le nôtre, avec des attaques de rançongiciels qui progressent rapidement”, commente Maya Horowitz, directrice du groupe Threat Intelligence de Check Point. “Ce phénomène s’explique simplement par le fait qu’ils sont efficaces et qu’ils génèrent des revenus importants pour les pirates. Les entreprises ont du mal à contrecarrer efficacement la menace: nombreuses sont celles qui ne disposent pas des bonnes mesures de protection et qui n’ont sans doute pas formé leurs équipes à la manière d’identifier les signes d’une possible attaque par rançongiciel dans les courriels qu’elles reçoivent.”
“Par ailleurs, nos données apportent la preuve qu’un petit nombre de familles sont responsables de la majorité des attaques tandis que des milliers d’autres familles de maliciels se manifestent rarement”, poursuit Maya Horowitz. “La plupart des cyber-menaces ont une dimension planétaire et trans-régionale. Néanmoins, la région APAC (Asie-Pacifique) se distingue dans la mesure où la carte de ses principales familles de maliciels inclut 5 familles qui n’apparaissent pas sur la carte des autres régions.”
Le rapport s’appuie sur des informations d’analyse des menaces puisées, de juillet à décembre 2016, dans la ThreatCloud World Cyber Threat Map de Check Point.
Source: Check Point