L’analyse révèle l’émergence de la triple extorsion, ainsi qu’un regain d’activité potentiel chez les cybercriminels. OpenText™ a annoncé aujourd’hui « les Nastiest Malware of 2022 », un classement des cybermenaces les plus inquiétantes de l’année. Pour la cinquième année consécutive, les experts en threat intelligence d’OpenText Security Solutions ont examiné les données, analysé différents comportements et identifié les charges utiles malveillantes les plus dangereuses.
Tribune – Emotet a reconquis le sommet du classement, réaffirmant que même si les affiliés peuvent être démantelés, leurs créateurs ne se laissent pas abattre si facilement. LockBit a fait évoluer ses tactiques dans un sens inédit : la triple extorsion. L’analyse a également révélé une augmentation de près de 1 100 % du phishing au cours des quatre premiers mois de 2022 par rapport à la même période en 2021, ce qui laisse présager la fin des « vacances des hackers », phase de repos des cybercriminels après l’effervescence des fêtes de fin d’année.
« Les résultats de cette année montrent de manière évidente que les malwares conservent une place centrale dans les menaces qui pèsent sur les particuliers, les entreprises et les gouvernements, explique Muhi Majzoub, EVP et Chief Product Officer d’OpenText. Les cybercriminels font évoluer leurs stratégies en permanence, ce qui oblige les acteurs de la sécurité informatique à les talonner sans relâche. Avec l’adoption généralisée des charges utiles de ransomware et des cryptomonnaies facilitant les paiements, la bataille va perdurer. Aucune personne, aucune entreprise, quelle que soit sa taille, n’est à l’abri de ces menaces. »
Bien que la liste de cette année classe les charges utiles[1] (ou payloads) dans différentes catégories de malwares, il est important de noter que bon nombre de ces groupes d’acteurs malveillants sous-traitent leur travail à d’autres. Chaque groupe peut ainsi se spécialiser dans une charge particulière et la perfectionner au maximum.
Les malwares les plus dangereux de 2022
- Emotet reste le botnet le plus performant, malgré une brève interruption l’année dernière suite à sa défaite. Son modus operandi : envoyer des campagnes de malspam à des milliards d’adresses e-mail chaque jour pour créer un point d’ancrage initial dans l’ordinateur de la victime, puis déployer des malwares qui évoluent latéralement et compromettent le reste de l’environnement avant d’injecter la charge de ransomware finale.
- LockBit s’impose comme le groupe de ransomware le plus prolifique et le plus performant de l’année. Bien qu’il existe depuis environ trois ans en tant que groupe de ransomware-as-a-service (RaaS), il continue de développer ses tactiques. En plus de s’emparer de données, de les rançonner et de menacer de les divulguer, la triple extorsion ajoute une troisième phase : une attaque par déni de service distribué (DDoS) sur l’ensemble du système pour le verrouiller complètement.
- Conti, un RaaS, fait partie des malwares surveillés par Nastiest Malware depuis quelque temps déjà. En février 2022, Conti a publié sur son site de fuite une déclaration de soutien au gouvernement russe. Peu après, le compte Twitter Conti Leaks a divulgué des conversations internes de Conti datant de près de deux ans, ce qui a entraîné le démantèlement du site de fuite et des serveurs de « command and control ». Par la suite, Conti s’est fragmenté en plusieurs opérations, notamment HelloKitty, BlackCat et BlackByte.
- Qbot (ou Qakbot), qui est potentiellement le cheval de Troie voleur d’informations le plus ancien du monde, est encore mis à jour aujourd’hui. Il se propage dans le réseau et infecte l’ensemble de l’environnement tout en « repérant les lieux » pour pouvoir accéder à un maximum de données à exfiltrer à des fins d’extorsion et pour préparer la phase finale des charges utiles de ransomware.
- Valyria est une autre souche d’un ancien cheval de Troie bancaire transformé en botnet de malspam avec des pièces jointes d’e-mails, transformées en scripts malveillants qui démarrent une chaîne d’infection aboutissant généralement à un ransomware. La complexité des composants de Valyria et sa capacité à échapper à la détection rendent ce malware difficile à éradiquer.
- Cobalt Strike et Brute Ratel sont des outils de simulation d’attaques adverses. Cobalt Strike est un outil de pen testing conçu par des hackers éthiques ; Brute Ratel a été créé pour les red teams. L’objectif de ces outils est d’aider les équipes à simuler des attaques afin de comprendre les tactiques utilisées par les cybercriminels, de repérer les failles de sécurité et d’apporter les modifications appropriées. Sans surprise, Cobalt Strike, et maintenant Brute Ratel, sont fréquemment utilisés par les pirates.
Pour en savoir plus sur les résultats de l’analyse Nastiest Malware 2022, visitez Webroot Community.
[1] Les payloads, ou charges utiles, sont les éléments de cyberattaques qui provoquent des dégâts. Les payloads malveillants peuvent rester en sommeil sur un ordinateur ou un réseau pendant plusieurs secondes, voire plusieurs mois, avant d’être déclenchés.