dimanche 9 août 2020
Promotion Meilleur VPN 2020
Accueil Réseau & Sécurité La tempête après le calme : Proofpoint dresse le bilan des menaces...

La tempête après le calme : Proofpoint dresse le bilan des menaces au troisième trimestre

Proofpoint dresse le bilan des menaces au troisième trimestre (ransomware Locky, menaces sur les réseaux sociaux, attaques BEC, etc).

Après un deuxième trimestre marqué par une panne majeure du botnet Necurs et le calme des campagnes d’e-mails infectés qui s’en est suivi, la tendance au troisième trimestre s’est totalement inversée avec un volume record de messages, en grande majorité destinés à propager le ransomware Locky. Mais le troisième trimestre s’est également caractérisé par une diversification et une évolution notables d’autres types de ransomwares et de chevaux de Troie bancaires.

D’une part, nous avons observé un niveau de sophistication croissant des macros infectées, avec de nouvelles techniques de contournement des sandbox et des attaques mieux ciblées, ainsi qu’une évolution des techniques d’attaque BEC (Business Email Compromise) ou « fraude au président ». D’autre part, le volume de messages utilisés pour distribuer le ransomware Locky via des documents infectés et du code JavaScript en pièces jointes s’est, certains jours, chiffré à des centaines de millions d’e-mails, les pirates ciblant des régions entières.

L’activité des kits d’exploitation s’est considérablement ralentie par rapport au pic de janvier, mais les opérations de malvertising reposant sur des kits d’exploitation ont atteint un degré de sophistication et une ampleur sans précédent. Dans le même temps, les kits d’exploitation et les attaques zero day sur mobiles ont commencé à combler le vide laissé par la perte de vitesse des kits d’exploitation pour PC. Les menaces sur les terminaux mobiles et les réseaux sociaux, en lien avec des phénomènes populaires tels que Pokémon GO et les Jeux olympiques de Rio, ont également fait les gros titres.

Ci-après figurent les principales conclusions du troisième trimestre 2016.

Principales conclusions

– Le volume d’e-mails malveillants contenant des pièces jointes JavaScript a augmenté de 69 % par rapport au deuxième trimestre, atteignant son plus haut niveau jamais enregistré. De nouvelles campagnes d’e-mails avec différents types de pièces jointes ont battu le record du deuxième trimestre pour culminer à des centaines de millions de messages par jour. Les pièces jointes JavaScript ont continué à dominer ces campagnes d’e-mails de très grande envergure, les auteurs du ransomware Locky introduisant par ailleurs de nouveaux types de fichiers en pièces jointes.

– La plupart des e-mails accompagnés de documents malveillants en pièces jointes transportaient le ransomware populaire Locky. Parmi les milliards de messages renfermant des documents malveillants en pièces jointes, 97 % étaient infectés par le ransomware Locky, soit 28 % de plus qu’au deuxième trimestre et 64 % de plus qu’au premier trimestre, période à laquelle Locky a été découvert.

– Le quatrième trimestre 2015 a vu le nombre de nouvelles variantes de ransomwares multiplié par dix. Les ransomwares ont continué à se diversifier, en particulier les souches distribuées au moyen de kits d’exploitation. Parmi les variantes diffusées via des kits d’exploitation et des campagnes d’e-mails de moindre envergure, CryptXXX est resté la principale charge utile de ransomware et a même fait son apparition dans une campagne de spams.

– Les cybercriminels continuent à perfectionner leurs techniques d’attaques BEC. Une attaque BEC consiste à usurper l’identité d’un haut dirigeant pour demander à ses collègues de lui transférer de l’argent. Les cas d’usurpation d’identité (spoofing) de type « Reply-to » ont chuté d’environ 30 % depuis début 2016, tandis que ceux basés sur le « nom d’affichage » sont en hausse et comptent pour près d’un tiers des attaques BEC totales. Cette évolution montre bien que les pirates ne cessent de perfectionner et d’adapter leurs techniques. Les méthodes « ordinaires » d’hameçonnage des identifiants de connexion n’ont cependant toujours pas été détrônées et sont de plus en plus sophistiquées.

– Diversification des chevaux de Troie bancaires et attaques personnalisées. Après une période de calme relatif, le très populaire cheval de Troie bancaire Dridex a refait surface dans des campagnes ciblées de plus grande ampleur que celles du deuxième trimestre, mais néanmoins nettement plus modestes que les campagnes massives (à l’époque) de 2015. D’autres chevaux de Troie bancaires, comme Ursnif, sont également apparus dans des campagnes hautement personnalisées totalisant des centaines de milliers de messages, une tendance amorcée au deuxième trimestre et qui s’est poursuivie au troisième trimestre. Parallèlement, un large éventail de chevaux de Troie bancaires a été observé dans des campagnes de malvertising.

– L’activité des kits d’exploitation s’est maintenue à un niveau stable, mais reste bien en deçà des pics de 2015. Au troisième trimestre, l’activité totale des kits d’exploitation a décliné de 65 % par rapport au deuxième trimestre et de 93 % par rapport à son plus haut niveau enregistré en janvier 2016, même si cette baisse semble s’être stabilisée. Avec la disparition d’Angler, autrefois populaire, Neutrino a cédé la place au kit d’exploitation RIG qui a dominé le troisième trimestre.

– Le phénomène Pokémon GO a engendré des contrefaçons renfermant des logiciels malveillants. Des logiciels malveillants, sous forme d’applications clones infectées téléchargées en dehors de la boutique officielle, de modules complémentaires dangereux et d’autres applications à risque, sont venus se greffer sur le succès du jeu. Les utilisateurs peuvent télécharger des applications depuis n’importe quelle source, et même les principales boutiques d’applications assurent un filtrage limité des applications et des mises à jour.

– iOS et Android ciblés par les kits d’exploitation et les attaques zero day sur mobiles. Aujourd’hui, la plupart des terminaux mobiles présentent entre 10 et 20 vulnérabilités zero day exploitables. Environ 30 % d’entre elles sont critiques et permettent à des pirates d’exécuter du code malveillant sur les terminaux infectés.

– Contenu négatif en hausse sur les réseaux sociaux. Le contenu négatif ou potentiellement préjudiciable, comme les spams, le langage réservé à un public adulte et la pornographie, a augmenté de 50 % au deuxième trimestre.

– L’hameçonnage sur les réseaux sociaux a doublé depuis le deuxième trimestre. Les réseaux sociaux constituent un terrain fertile pour l’hameçonnage des identifiants de connexion et des informations financières, une technique utilisée par les pirates pour soutirer aux utilisateurs des réseaux sociaux leurs identifiants de compte. Les comptes frauduleux, employés dans un type d’attaque que nous avons baptisé « hameçonnage Angler », ont ouvert la voie.

– Hausse de la contamination croisée entre les terminaux mobiles et les réseaux sociaux. Des événements très médiatisés comme les Jeux olympiques de Rio et Pokémon GO ont favorisé la propagation de logiciels malveillants mobiles, notamment des exploits zero day, sur les réseaux sociaux.

UnderNewshttps://www.undernews.fr/
Administrateur et fondateur du site UnderNews

1 COMMENTAIRE

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

- Advertisment -Express VPN

Derniers articles

Vacances d’été : profitez-en pour faire du ménage dans votre vie numérique

Après une longue période de confinement, et avant les vacances d’été, c’est le moment idéal pour effectuer un grand nettoyage ! Cela concerne aussi bien nos placards que notre vie numérique. Petit tour d'horizon et conseils pour se débarrasser de vos déchets  numériques.

36% des Millenials se moquent de la sécurité en ligne

La sécurité en ligne s’impose comme le facteur le plus important pour les Millenials lorsqu’on parle d’usages numériques à la maison. Pourtant, si cette...

Le VPN sans logs d’HMA adoubé par VerSprite, société indépendante de conseil en cyber-risque

La politique de non-collecte et de non-conservation des données d’HMA a reçu la meilleure note possible, suite à l’évaluation des facteurs relatifs à la vie privée indépendante.

Nom d’entreprise : comment réussir à trouver le meilleur ?

L’un des plus grands casse-têtes des nouveaux entrepreneurs est de choisir un nom qui accroche et vend en même temps leurs produits ou services. Élément de l’identité individuelle de l’entreprise, il reflète l’originalité et la philosophie de celle-ci. Vous vous demandez comment bien choisir un nom pour votre entreprise ? Voici quelques conseils.