Les solutions anti-malware traditionnelles passent à côté de près de 75 % des cybermenaces
Cette nouvelle version du rapport sur la sécurité Internet de WatchGuard met en évidence des volumes record de malwares de type « Zero-Day », une hausse des attaques réseau, les principales attaques de malwares survenues au dernier trimestre, et plus encore.
Paris, le 24 juin 2021 – WatchGuard® Technologies, leader mondial dans le domaine de la sécurité et l’intelligence réseau, de l’authentification multifacteur (MFA), de la protection avancée des endpoints et du Wi-Fi sécurisé, publie aujourd’hui son rapport sur la sécurité Internet pour le 1er trimestre 2021. D’après les principales conclusions de l’étude, 74 % des menaces détectées au dernier trimestre étaient des malwares de type Zero-Day, autrement dit des menaces qui, au moment de leur diffusion, n’ont pas été identifiées par les solutions antivirus classiques basées sur la signature et ont donc pu les contourner.
Le rapport se penche également sur l’augmentation du nombre d’attaques réseau, la manière dont les cybercriminels tentent de maquiller et de recycler d’anciens exploits, les principales attaques de malwares au dernier trimestre, etc.
Corey Nachreiner, directeur de la sécurité chez WatchGuard explique : « Au dernier trimestre, les détections de malwares de type Zero-Day ont atteint un niveau sans précédent. Les malwares évasifs ont en fait éclipsé les menaces traditionnelles. Un signe de plus que les entreprises ont tout intérêt à faire évoluer leurs défenses si elles veulent garder une longueur d’avance sur des cybercriminels aux méthodes de plus en plus sophistiquées. Les solutions anti-malware traditionnelles ne font pas le poids face aux menaces actuelles. Chaque entreprise a besoin d’une stratégie de sécurité proactive et multiniveau s’appuyant sur l’apprentissage automatique et l’analyse comportementale pour détecter et bloquer les menaces nouvelles et avancées ».
Autres résultats clés
- Une variante de malware sans fichier gagne en popularité : JSLoader est une charge utile malveillante qui fait pour la première fois son apparition dans le classement WatchGuard des malwares les plus importants en termes de volume et dans celui des malwares les plus répandus. C’est aussi la variante la plus souvent détectée par WatchGuard via l’inspection HTTPS au 1er trimestre. L’échantillon identifié par WatchGuard utilise une attaque XXE (XML External Entity) pour ouvrir un shell et exécuter des commandes afin de contourner la politique d’exécution locale de PowerShell. L’attaque s’exécute de manière non interactive, à l’insu de l’utilisateur ou de la victime. Il s’agit d’un autre exemple de la prévalence croissante des malwares sans fichier, qui confirme la nécessité de mettre en place des fonctions avancées de détection et de réponse aux menaces sur les endpoints.
- Une simple astuce au niveau du nom de fichier permet aux pirates de faire passer un chargeur de ransomware pour un PDF légitime en pièce jointe : le chargeur de ransomware Zmutzy se classe parmi les deux principales variantes de malwares chiffrés en termes de volume au 1er trimestre. Associée au ransomware Nibiru, cette menace se propage par le biais d’un fichier zippé joint à un e-mail ou d’un téléchargement depuis un site Web malveillant. L’exécution du fichier zip télécharge un exécutable qui se présente comme un PDF tout à fait légitime aux yeux de la victime. Les attaquants ont remplacé le point par une virgule dans le nom de fichier et ont modifié manuellement l’icône pour faire passer le fichier zip malveillant pour un PDF. Ce type d’attaque montre à quel point il est important de sensibiliser et de former les utilisateurs au phishing, mais aussi de mettre en œuvre des solutions de sauvegarde pour le cas où une variante telle que celle-ci provoquerait une infection par ransomware.
- Les cybercriminels poursuivent leurs attaques contre les appareils IoT : bien qu’elle ne figure pas dans la liste WatchGuard des 10 principaux malwares au 1er trimestre, la variante Linux.Ngioweb.B a récemment été utilisée par des cybercriminels pour cibler les appareils IoT. La première version de cette menace visait les serveurs Linux exécutant WordPress et se présentait initialement sous forme de fichier EFL (Extended Format Language). Une autre version de ce malware transforme les appareils IoT en botnet avec des serveurs de commande et de contrôle tournants.
- Les attaques réseau bondissent de plus de 20 % : les appliances WatchGuard ont détecté plus de 4 millions d’attaques réseau, soit une progression de 21 % par rapport au trimestre précédent et le volume le plus élevé depuis le début de l’année 2018. Malgré le passage au travail à distance et hybride, les serveurs et les actifs d’entreprise sur site restent des cibles de grande valeur pour les cybercriminels. Les entreprises doivent par conséquent maintenir la sécurité du périmètre parallèlement aux protections axées sur l’utilisateur.
- Une ancienne technique d’attaque par traversée de répertoire fait son retour : au 1er trimestre, WatchGuard a identifié une nouvelle signature de menace liée à une attaque par traversée de répertoire via des fichiers CAB (cabinet), un format d’archivage Microsoft avec compression des données sans perte et certificats numériques intégrés. Cet exploit vient s’ajouter au palmarès WatchGuard des 10 principales attaques réseau. Il incite les utilisateurs à ouvrir un fichier CAB malveillant au moyen de techniques classiques ou en usurpant une imprimante connectée au réseau pour les inviter à installer un pilote d’imprimante via un fichier CAB compromis.
- Les menaces Zero-Day HAFNIUM fournissent des renseignements sur les tactiques de menace et les meilleures pratiques de réponse : le trimestre dernier, Microsoft a signalé l’exploitation de quatre vulnérabilités HAFNIUM dans diverses versions d’Exchange Server. Le but des pirates : l’exécution complète et non authentifiée de code à distance et un accès arbitraire en écriture aux fichiers sur tout serveur dépourvu de correctifs exposé à Internet, ce qui est le cas de la plupart des serveurs de messagerie. L’analyse des incidents réalisée par WatchGuard examine en détail les vulnérabilités et souligne l’importance de l’inspection HTTPS, de l’application rapide de correctifs et du remplacement des anciens systèmes.
- Les cybercriminels détournent des domaines légitimes lors de campagnes de cryptominage : au 1er trimestre, le service DNSWatch de WatchGuard a bloqué plusieurs domaines compromis et malveillants associés à des menaces de cryptominage. Les malwares de cryptominage sont de plus en plus populaires en raison de la récente flambée des prix sur le marché des cryptomonnaies et de la facilité avec laquelle les cybercriminels peuvent siphonner les ressources de victimes peu méfiantes.
Les rapports trimestriels de WatchGuard s’appuient sur les données anonymisées du « Firebox Feed » provenant d’appliances Firebox WatchGuard en service dont les propriétaires ont accepté de partager les informations afin de soutenir les efforts de recherche du Threat Lab. Au 1er trimestre, WatchGuard a bloqué en tout plus de 17,2 millions de variantes de malwares (461 par appliance) et près de 4,2 millions de menaces réseau (113 par appliance). Le rapport complet fournit des informations sur d’autres tendances en matière de malwares et de réseau au 1er trimestre 2021, ainsi qu’une analyse détaillée des exploits HAFNIUM visant Microsoft Exchange Server, des conseils de défense majeurs, entre autres.
Poursuivez votre lecture avec nos différents articles sur les sujets du moment en cybersécurité.
Partager cet article
Nos billets d’humeur les plus lus
22/07/2024
Cyber sécurité : Sprint final avant le début des JOP 2024
A quelques jours du lancement des Jeux Olympiques et Paralympiques 2024, la situation…
26/06/2024
A l’ère du deepfake politique, nos démocraties sont-elles en danger ?
Utilisée par les candidats pour mener leur campagne, ou pour déstabiliser un adversaire,…
14/05/2024
Comment réinventer la cybersécurité à l’ère de l’IA ?
Jeux Olympiques, élections... 2024 : une actualité favorable à l'accélération de l’IA.……