Rapport trimestriel Proofpoint sur les menaces de sécurité informatique

3
110

Le bilan trimestriel Proofpoint Quarterly Threat Summary présente les menaces, tendances et transformations que l’entreprise constate chez ses clients et, plus largement, dans le secteur de la sécurité. Chaque jour, afin de protéger les organisations contre les menaces les plus sophistiquées, Proofpoint analyse plus d’un milliard d’e-mails, des centaines de millions de messages échangés sur les réseaux sociaux et plus de 150 millions d’échantillons de programmes malveillants.

Proofpoint Q2 2016 Quarterly Threat Summary – L’analyse trimestrielle de l’évolution de ces menaces permet d’identifier clairement les tendances de fond, de fournir aux organisations des renseignements exploitables et d’émettre des recommandations pertinentes en matière de gestion des dispositifs de sécurité. Proofpoint continue d’assister à l’émergence de menaces sophistiquées sur trois grands vecteurs : l’e-mail, les réseaux sociaux et le téléphone portable.

Les points importants pour le premier semestre 2016 : volume, mutation, puis silence

Les cinq premiers mois de l’année 2016 ont été marqués par des campagnes d’e-mails malveillants dans des proportions inédites. De nouvelles variantes de ransomwares (ou « rançongiciels ») sont apparues rapidement. En parallèle, les utilisateurs de Dridex ont commencé à propager le ransomware Locky, changeant régulièrement de tactiques avec de nouveaux chargeurs et types de pièces jointes, et utilisant des techniques d’obfuscation afin d’éviter d’être repérés.

Puis, à la fin du mois de mai, l’un des réseaux d’ordinateurs zombies (dits « botnets ») les plus importants au monde a disparu subitement. La propagation de Dridex et de Locky s’en est trouvée presque interrompue. Dans le même temps, le logiciel Angler (« exploit kit » extrêmement populaire), kit tout-en-un qui automatise à grande échelle les cyberattaques Web, est devenu silencieux. Ces deux événements concomitants ont fait de juin un mois étrangement calme.

Pourtant, les menaces sur les réseaux sociaux, comme les comptes frauduleux de service client, ont continué de proliférer. Quant aux menaces contre les téléphones portables, elles ont continué de cibler les failles multiples des dispositifs. Ces menaces avaient essentiellement pour objectif la prise de contrôle des appareils des victimes et le téléchargement de logiciels publicitaires malveillants, notamment sur les versions plus anciennes d’Android.

Ci-après figurent les principales conclusions du deuxième trimestre 2016.

E-mails et logiciels « exploit kits »

Les pièces jointes JavaScript ont favorisé une explosion du volume de messages malveillants, soit une augmentation de 230 % d’un trimestre à l’autre. De nombreux utilisateurs de Locky et Dridex ont profité des fichiers JavaScript, joints aux e-mails, pour installer des charges virales. Ces attaques figuraient parmi les campagnes les plus importantes que Proofpoint a pu observer et concernaient parfois des centaines de millions de messages par jour.

Ransomware : Locky règne sur les messageries électroniques et CryptXXX domine la scène des « exploit kits »

Parmi les attaques lancées contre les messageries électroniques et qui propageaient des logiciels malveillants par l’intermédiaire de pièces jointes, 69 % d’entre elles utilisaient le nouveau ransomware Locky au deuxième trimestre 2016, alors que c’était le cas de seulement 24 % d’entre elles au premier trimestre. Cette percée a propulsé Locky en première place du classement des logiciels malveillants ciblant les messageries et lui a ainsi permis de détrôner Dridex. Apparu au cours du deuxième trimestre, CryptXXX a dominé rapidement la scène des « exploits kits ». Globalement, le nombre de nouvelles variantes de ransomwares (distribuées, pour la plupart d’entre elles, par des exploit kits) a été multiplié par un facteur de 5 à 6 depuis le dernier trimestre de l’année 2015.

Les campagnes hautement personnalisées changent d’échelle.

Les auteurs de menaces ont mené des campagnes hautement personnalisées visant des dizaines de centaines de milliers de messages. Il s’agit d’un changement d’échelle notable, les campagnes personnalisées et ciblées frappant autrefois un public nettement plus restreint.

Les tentatives d’attaque contre les e-mails professionnels deviennent chose courante.

Fait étonnant, 80 % d’un échantillon représentatif de la clientèle de Proofpoint fait état d’au moins une tentative d’hameçonnage de messagerie électronique professionnelle au cours du dernier mois. En outre, les cybercriminels ont adapté leurs leurres en fonction des événements saisonniers, comme la déclaration de revenus, et ont diversifié leurs méthodes d’approche afin d’accroître l’efficacité et l’ampleur de leurs attaques.

Juin, un mois idyllique ?

Le volume d’« exploit kits » observé par Proofpoint a chuté de 96 % entre avril et la mi-juin. Le « botnet » Necurs s’est tu en juin, entraînant avec lui dans le silence les campagnes massives de Locky et Dridex qui avaient marqué le premier semestre de l’année 2016. Angler, « exploit kit » de renom, avait disparu entièrement début juin, peu après l’abandon des opérations par Nuclear, autre « exploit kit » populaire. Fin juin, Neutrino était donc le principal « exploit kit » encore en activité.

Le ransomware Locky est de retour

À la fin du mois de juin, les premières campagnes massives Locky ciblant les messageries étaient de retour, tous les paramètres indiquant que le botnet Necurs était de nouveau actif. Il reste à voir si la scène des « exploit kits » connaîtra une résurrection similaire au prochain trimestre.

Téléphones portables

Dix millions d’appareils Android ont été la cible d’« exploit kits ». Ces logiciels ont identifié les faiblesses des systèmes visés et permis aux cybercriminels de prendre le contrôle des appareils. Dans la plupart des cas, cette prise de contrôle permettait le téléchargement de logiciels publicitaires, générant ainsi des profits au bénéfice des auteurs de menaces.

98 % des logiciels malveillants affectant les téléphones portables restent associés à la plateforme Android. Cette proportion s’est maintenue depuis le dernier trimestre.

Réseaux sociaux

Les tentatives d’hameçonnage ont augmenté de 150 % sur les réseaux sociaux. Les organisations doivent en permanence lutter contre le spam et les contenus destinés aux adultes, entre autres, phénomènes qui dépassent leur capacité de résolution manuelle.

Les commentaires sont fermés.