FortiGuard Labs observe une multiplication par dix du nombre de ransomwares sur un an

FortiGuard Labs observe une multiplication par dix du nombre de ransomwares sur un an

Dans le public, comme dans le privé, les organisations et entreprises affûtent leurs armes pour déstabiliser la cybercriminalité

Diegem, le 6 septembre – Fortinet® (NASDAQ : FTNT), l'un des leaders mondiaux de solutions globales, intégrées et automatisées de cybersécurité, annonce la publication de son nouveau rapport de sécurité semestriel FortiGuard Labs Global Threat Landscape Report. La veille menée sur les menaces sur le premier semestre 2021 témoigne d’une augmentation significative du volume et de la sophistication des attaques visant les individus, les entreprises et les infrastructures critiques.

La surface d’attaque que représentent les télétravailleurs et/ou étudiants hybrides, à savoir ceux qui sont présents sur le réseau ou qui s’y connectent à distance selon leurs besoins, continue d'être ciblée. Une dynamique de collaboration et de partenariat entre les forces de l’ordre, les entreprises publiques et les acteurs du privé, constitue un moyen de perturber l'écosystème cybercriminel au cours du second semestre 2021. Pour une synthèse du rapport et les points importants à retenir, lisez le blog. Voici également les temps forts de ce nouveau rapport :

  • Le ramsomware n'est pas qu'une question d'argent. Les données de FortiGuard Labs montrent que l'activité hebdomadaire moyenne des ransomwares en juin 2021 a été plus que décuplée par rapport à juin 2020, preuve d'une augmentation constante et régulière sur la période. Les attaques ont paralysé les chaînes d'approvisionnement de plusieurs entreprises stratégiques et ont eu un impact sur la vie quotidienne, la productivité et le business en général. Les entreprises du secteur des télécommunications ont été les plus visées, suivies par les administrations publiques, les fournisseurs de services de sécurité, le secteur automobile et l'industrie manufacturière. En outre, certains auteurs de ransomwares ont repensé leur stratégie, abandonnant les attaques initiées par email pour se concentrer sur l'obtention et la revente d'accès initiaux (Initial Access) aux réseaux des entreprises, ce qui témoigne de l'évolution continue du Ransomware-as-a-Service (RaaS). Il faut retenir que les ransomwares constituent un danger évident et constant pour toute entreprise, quel que soit son secteur d'activité ou sa taille. Il s’agit d’adopter une approche proactive avec des solutions de protection des endpoints, de détection et de réponse automatisée en temps réel pour sécuriser les environnements. Au-delà, c’est aussi une approche d'accès zero trust au réseau, une segmentation de ce réseau et un chiffrement des données qui s’imposent.
Croissance du nombre de détections de ransomware au cours des 12 derniers mois (juillet 2020 - juin 2021)
Croissance du nombre de détections de ransomware au cours des 12 derniers mois (juillet 2020 - juin 2021)
  • Une entreprise sur quatre a détecté des publicités malveillantes. L’étude de la prévalence des principales familles de malware montre une augmentation de la publicité malveillante (malvertising) et des alarmiciels (scareware). Plus d'une entreprise sur quatre a détecté de telles tentatives, Cryxos étant la famille de malware la plus fréquente. Toutefois, un grand nombre de ces détections est probablement associé à des campagnes JavaScript similaires qui seraient considérées comme du malvertising. Le travail hybride a sans doute encouragé les cybercriminels à développer de nouvelles tactiques qui visent non seulement à faire peur mais aussi à extorquer des fonds. La sensibilisation des collaborateurs s’impose plus que jamais pour identifier et déjouer ces tactiques de scareware ou de malvertising.
  • Les assaillants tirent parti des botnets pour cibler les endpoints. Le suivi du nombre de botnets détectés témoigne d’une augmentation de l’activité de ce type de malware. Au début de l'année, 35 % des entreprises avaient détecté une activité de botnet. Six mois plus tard, elles sont 51 %. L’activité dynamique de TrickBot est à l'origine de ce pic identifié en juin. TrickBot est apparu sur la scène de la cybercriminalité sous la forme d'un cheval de Troie bancaire. Il s'est depuis transformé en une boîte à outils sophistiquée et polyvalente permettant de multiples activités illicites. Mirai a été le botnet le plus prévalent dans l'ensemble. Il a surclassé Gh0st au début de l'année 2020 et règne depuis lors sur l'ensemble de l'année 2021. Mirai a enrichi son arsenal offensif mais il est probable que sa domination soit notamment due aux criminels qui cherchent à pirater les objets connectés utilisés par les télétravailleurs ou étudiants distants. Gh0st reste néanmoins actif : ce botnet d'accès à distance permet aux assaillants de prendre le contrôle total du système infecté, de capturer des flux de webcam et audio en direct ou de télécharger des fichiers. Plus d'un an après la migration massive vers le travail et l'apprentissage à distance, les cybercriminels continuent de cibler nos habitudes quotidiennes, en constante évolution, pour exploiter toute opportunité qui se présente. Pour protéger les réseaux et les applications, les entreprises ont besoin d'une approche d’accès réseau zero trust et de fournir des accès à moindre privilège pour sécuriser les endpoints et objets qui se connectent au réseau.
  • Les actions de déstabilisation de la cybercriminalité se traduisent par une réduction du volume des menaces. Dans le domaine de la cybersécurité, toutes les actions n'ont pas un effet immédiat ou durable, mais plusieurs événements survenus en 2021 indiquent une évolution positive. Le développeur à l’origine de TrickBot a été inculpé de plusieurs chefs d'accusation en juin. De même, le démantèlement coordonné d'Emotet, l'une des opérations de logiciels malveillants les plus prolifiques de l'histoire récente, ainsi que les actions visant à perturber les ransomwares Egregor, NetWalker et Cl0p témoignent d'un élan significatif de la part des professionnels de la sécurité IT, des gouvernements et des forces de l’ordre du monde entier pour enrayer la cybercriminalité. En outre, l’attention portée à certaines attaques a effrayé quelques opérateurs de ransomwares qui ont annoncé cesser leurs activités. Les données de FortiGuard Labs témoignent d’un ralentissement de l'activité après le démantèlement d'Emotet. L'activité liée aux variantes de TrickBot et de Ryuk a persisté après l’arrêt du botnet Emotet, mais avec un volume réduit. Ces événements constituent néanmoins des avancées importantes, même si nous constatons qu’il est difficile d'éradiquer les cybermenaces ou les sources d'attaques. 
  • Techniques de contournement et d'usurpation de privilèges par les cybercriminels. L'étude des menaces complexes permet de tirer de précieux enseignements sur l’évolution des techniques malveillantes. FortiGuard Labs a analysé les fonctionnalités spécifiques de logiciels malveillants en en exécutant des échantillons, puis en observant les conséquences, celles qu’attendent les cybercriminels. Le résultat est une liste de préjudices que les logiciels malveillants auraient pu provoquer si les attaques avaient été exécutées dans les environnements ciblés. Il en ressort que les cybercriminels ont cherché, entre autres techniques, à détourner des privilèges élevés, contourner les défenses, se déplacer en interne d’un système à l’autre et exfiltrer les données compromises. Par exemple, 55 % des usurpations de privilèges ont utilisé la technique du hooking et 40 % l'injection de code dans un processus. Il est évident que les cybercriminels mettent l’accent sur des tactiques de contournement des défenses et d'usurpation de privilèges. La connaissance de ces tactiques, qui ne sont guère nouvelles, permet aux opérationnels de la sécurité IT d’être mieux armés. Des approches intégrées et basées sur des plateformes d'intelligence artificielle (IA), alimentées par une veille décisionnelle sur les menaces sont essentielles pour assurer une défense sur tous les fronts et neutraliser les menaces en évolution auxquelles les entreprises sont confrontées en permanence.

Les partenariats, la formation, ainsi que la prévention, la détection et la réponse aux menaces assistées par AI, sont essentiels

Bien que les organismes gouvernementaux et les forces de l’ordre aient pris des mesures relatives à la cybercriminalité par le passé, le premier semestre de 2021 pourrait initier une nouvelle dynamique pour l'avenir. Ces acteurs collaborent désormais avec les éditeurs de solutions de sécurité et avec d’autres acteurs, au travers de partenariats, pour associer les ressources et agréger les informations de veille en temps réel, et donc agir concrètement contre les cybercriminels. Quoi qu'il en soit, la détection automatisée des menaces et l'IA restent essentielles pour permettre aux entreprises de faire face aux attaques en temps réel, et de les maîtriser, à grande échelle et sur tous les fronts. En outre, la formation des utilisateurs à la cybersécurité est plus importante que jamais, n'importe qui pouvant être la cible de cyberattaques. Une sensibilisation continue sur les meilleures pratiques s’impose pour assurer la sécurité des collaborateurs et donc de l'entreprise.

Derek Manky, Chief Security Insights & Global Threat Alliances chez FortiGuard Labs, déclare: Nous assistons à une recrudescence de cyberattaques efficaces et dévastatrices, capables de toucher des milliers d'entreprises en une seule campagne, créant ainsi un point d'inflexion majeur dans la lutte contre la cybercriminalité. Aujourd'hui, plus que jamais, chacun a un rôle important à jouer dans cette lutte et la collaboration entre les différents acteurs doit être une priorité pour perturber les filières criminelles. Le partage des données et les partenariats apportent des réponses plus efficaces et une meilleure compréhension des techniques futures, pour ainsi juguler les efforts de l'adversaire. La sensibilisation quotidienne des collaborateurs face aux menaces, ainsi que les technologies de prévention, de détection et de réponse basées sur l’IA et intégrées aux endpoints, aux réseaux et au cloud restent essentielles pour contrer les cybercriminels.

Synthèse du rapport

Ce dernier rapport sur le panorama mondial des menaces est une synthèse des informations de veille de FortiGuard Labs, tirées du réseau mondial de capteurs de Fortinet qui a recueilli des milliards d'événements observés dans le monde, au cours du premier semestre 2021. De la même manière que MITRE ATT&CK classifie les tactiques, techniques et procédures des cybercriminels, les trois premières catégories étant la reconnaissance, le développement des ressources et l'accès initial, le rapport FortiGuard Labs Global Threat Landscape s'appuie sur ce modèle pour décrire comment les auteurs de menaces identifient les vulnérabilités, bâtissent leur stratégie malveillante et attaquent leurs cibles. Le rapport propose tant des perspectives mondiales que par région.

Ressources complémentaires

Consultez notre blog pour plus d’informations sur cette étude ou téléchargez le rapport d’étude dans son intégralité.

À propos de FortiGuard Labs

FortiGuard Labs est l'organisation de recherche et de renseignement sur les menaces de Fortinet. Sa mission est de fournir aux clients de Fortinet les meilleures informations sur les menaces du secteur, afin de les protéger contre les activités malveillantes et les cyberattaques sophistiquées. Elle est composée des chasseurs de menaces, chercheurs, analystes, ingénieurs et data scientists les plus compétents du secteur, travaillant dans des laboratoires dédiés aux recherches de menaces dans le monde entier. FortiGuard Labs surveille en permanence la surface d'attaque mondiale à l'aide de millions de capteurs réseau et de centaines de partenaires. Il analyse et traite ces informations à l'aide de l'intelligence artificielle (IA) et d'autres technologies innovantes pour exploiter ces données de recherche de nouvelles menaces. Ces efforts se traduisent par des renseignements opportuns et exploitables sur les menaces sous la forme de mises à jour de produits de sécurité Fortinet, de recherches proactives sur les menaces pour aider nos clients à mieux les comprendre et à cerner les acteurs malveillants auxquels ils sont confrontés, et en fournissant des services de conseil spécialisés pour aider nos clients à identifier et à renforcer leurs expositions à la sécurité. Pour en savoir plus, consultez le site https://www.fortinet.com/fr, le blog Fortinet ou FortiGuard Labs.

À propos de Fortinet

Fortinet (NASDAQ : FTNT) rend possible un monde numérique auquel nous pouvons toujours faire confiance grâce à sa mission de protection des personnes, des appareils, et des données partout dans le monde. C'est pourquoi les plus grandes entreprises, les fournisseurs de services et les organisations gouvernementales du monde entier choisissent Fortinet pour accélérer en toute sécurité leurs échanges numériques. La plateforme Fortinet Security Fabric offre des protections étendues, intégrées et automatisées sur toute la surface d'attaque numérique, sécurisant les appareils, les données, les applications et les connexions critiques du Data Center au cloud en passant par le travail à domicile. Classé au premier rang pour le nombre d'appliances sécurisées délivrées dans le monde, plus de 530 000 clients font confiance à Fortinet pour protéger leurs organisations. Et le Fortinet NSE Training Institute, une initiative du Training Advancement Agenda (TAA) de Fortinet, propose l'un des programmes de formation les plus vastes et les plus larges du secteur afin de rendre la formation à la cybersécurité et les nouvelles opportunités de carrière accessibles à tous. Pour en savoir plus, consultez le site https://www.fortinet.com/fr, le blog Fortinet ou FortiGuard Labs.

Steffy Bruyninx
Steffy Bruyninx Jr. PR Consultant, Evoke
A propos de Evoke

Founded in 2011, Evoke is a communication agency specialized in public relations and content marketing. We get your story told. Whether through press relations, social media, websites, newsletters or print, our consultants make sure you and your message will reach your target audience.

Evoke
Witte Patersstraat 4
1040 Brussel