FortiGuard Labs signale un bond de plus de 50 % des malwares dévastateurs de type wiper
Pour contourner des lignes de défense qui se sont renforcées, les attaques gagnent en complexité et en sophistication
Diegem, le 28 février - Fortinet® (NASDAQ : FTNT), leader mondial de la cybersécurité et acteur majeur de la convergence réseau & sécurité, annonce la publication de son nouveau rapport semestriel FortiGuard Labs sur le panorama mondial des menaces. L’univers des menaces et la surface d'attaque des entreprises sont en constante évolution. La capacité des cybercriminels à concevoir et adapter leurs stratégies en fonction de cette évolution constitue un risque majeur pour les entreprises, quels que soient leur secteur d'activité, leur envergure ou leur localisation géographique. Pour une synthèse détaillée de ce nouveau rapport, merci de consulter notre blog.
Voici les temps forts de ce rapport couvrant le 2ème semestre 2022 :
- La diffusion massive des wipers (menace de type APT qui supprime les données) est un nouveau signal que le potentiel destructeur de certaines se renforce.
- De nouvelles informations sur les menaces permettent aux DSSI de hiérarchiser les mesures à prendre et de minimiser la surface d'attaque, à l’aide d’une approche dite de "Red Zone" qui identifie les périmètres critiques à protéger.
- Le ransomware reste particulièrement dynamique, avec de nouvelles variantes rendues possibles par le Ransomware-as-a-Service (RaaS). Rien ne laisse présager d’un ralentissement de cette activité malveillante à l'échelle mondiale.
- Le logiciel malveillant le plus prévalent datait de plus d'un an et avait subi de nombreuses modifications, ce qui souligne que la réutilisation et la mise à jour de malwares historiques se révèlent efficaces et rentables.
- La vulnérabilité Log4j reste une menace pour les entreprises dans le monde. Tous les secteurs d’activité sont impactés, avec une prévalence dans les secteurs des technologies, des administrations et de l’enseignement.
Derek Manky, Chief Security Strategist & Global VP Threat Intelligence, FortiGuard Labs : "Pour les cybercriminels, maintenir l’efficacité de leurs attaques tout en évitant de se faire détecter n'est pas une mince affaire face à des lignes de défense qui se sont améliorées. Pour contourner ces défenses, les assaillants utilisent des techniques de reconnaissance et déploient de nouvelles méthodes d'attaque plus sophistiquées, utilisant des menaces de type APT, à l’instar des wipers. Pour déjouer ces nouvelles stratégies d'attaques sophistiquées, les entreprises doivent déployer une veille coordonnée, décisionnelle et en temps réel contre les menaces. Cette veille, qui tire parti du machine learning, permet de détecter les actions suspectes et de déployer les mesures de protection sur toute leur surface d'attaque."
Les wipers ont eu le vent en poupe en 2022
L'analyse des données concernant les wipers révèle une tendance des cybercriminels à utiliser systématiquement des techniques d'attaque destructrices. Elle montre également qu'avec l’absence de frontières sur Internet, les assaillants peuvent facilement étendre ce type d'attaques, notamment en tirant parti du modèle Cybercrime-as-a-Service (CaaS).
Au début de l'année 2022, parallèlement à la guerre en Ukraine, FortiGuard Labs a signalé la présence de plusieurs nouveaux wipers. Par la suite, ces malwares se sont étendus à d'autres pays, avec une croissance de 53 % de leur activité entre le 3ème et le 4ème trimestre. Si une partie de cette activité a été rendue possible par des wipers initialement développés et déployés par des États-nations dans le cadre de la guerre, des groupes cybercriminels les ont reprises à leur compte pour les propager au-delà de l'Europe. Si l'on en croit le volume d'activité observé au 4ème trimestre, la prolifération des wipers ne devrait pas ralentir de sitôt. Toute entreprise reste donc une cible potentielle, qu'elle soit ou non basée en Ukraine et les pays voisins.
Pour aider les DSSI à établir des priorités, le mapping par rapport aux CVE révèle des "Red Zone" vulnérables
Les prospectives en matière d’exploits permettent d’identifier les cibles privilégiées par les cybercriminels, les cibles de futures attaques, ainsi que les cibles réellement attaquées. FortiGuard Labs dispose d'une vaste bibliothèque de vulnérabilités connues et, grâce à l'enrichissement de ses données, le laboratoire identifie les vulnérabilités exploitées en temps réel et cartographie les zones à risque sur la surface d'attaque.
Au 2ème semestre 2022, moins de 1 % des vulnérabilités identifiées au sein des entreprises concernait les endpoints et faisait l'objet d'une attaque. Grâce à une veille sur la surface d'attaque, les DSSI ont une vision claire de la "Red Zone" à protéger en priorité et savent où concentrer leurs efforts pour maîtriser les risques.
La cybercriminalité à but lucratif et les menaces par ransomware atteignent des sommets
Les enquêtes post-incident de FortiGuard Labs révèlent que les exactions à but lucratif représentent le plus fort volume d’incidents (73,9 %), suivis de loin par l'espionnage (13 %). En 2022, 82 % des actes de cybercriminalité à motivation lucrative ont utilisé des ransomwares ou des scripts malveillants. La menace mondiale des ransomwares reste donc d'actualité et s’inscrit dans la durée du fait de la popularité croissante du Ransomware-as-a-Service (RaaS) sur le dark web.
Dans les faits, le volume des ransomwares a progressé de 16 % par rapport au 1er semestre 2022. Sur un total de 99 familles de ransomware observées, les cinq premières représentent environ 37 % de l'activité globale sur le 2ème semestre 2022. GandCrab, un malware RaaS apparu en 2018, était en tête de liste. Si les auteurs GandCrab ont annoncé qu'ils se retiraient après avoir réalisé plus de 2 milliards de dollars de bénéfices, plusieurs variantes de GandCrab sont apparues pendant sa période d'activité. Il est possible que l'héritage de ce groupe criminel se perpétue, ou que le code logiciel ait simplement été amélioré, modifié et mis à jour. Cette réalité démontre à quel point des partenariats sont nécessaires entre tous types d’entreprises et d’organisations pour démanteler les organisations criminelles. Pour perturber efficacement les filières cybercriminelles, un effort collectif mondial s’impose, avec des relations de confiance et une collaboration entre toutes les parties prenantes de la cybersécurité, qu’elles proviennent du privé ou du secteur public.
La réutilisation des malwares par les cybercriminels témoigne de leur nature ingénieuse
Les cybercriminels ont la fibre entrepreneuriale. Pour rendre leurs attaques plus efficaces et rentables, ils cherchent, en permanence, à tirer le meilleur parti de leurs investissements et à affûter leurs compétences. La réutilisation de malwares est un moyen efficace et lucratif de capitaliser sur des résultats déjà éprouvés, tout en apportant des modifications pour affiner les attaques et contourner les lignes de défense en place.
Lorsque FortiGuard Labs a analysé les logiciels malveillants les plus répandus sur le 2ème semestre 2022, ce sont des versions datant de plus d’un an qui étaient sur le podium. D’ailleurs, certains malwares comme Lazurus sont de grands classiques de la cybercriminalité depuis plus de dix ans. FortiGuard Labs a également examiné une série de versions d'Emotet pour analyser leur capacité à emprunter et réutiliser du code logiciel existant. Les recherches ont montré qu'Emotet a connu de nombreuses versions, qu’il est possible de catégoriser en six familles. Les cyber-adversaires ne se contentent pas d'automatiser les menaces, mais modifient activement leur code logiciel pour les rendre toujours plus efficaces.
La résurgence d'un ancien botnet prouve la robustesse des chaînes collaboratives cybercriminelles
Au-delà de réutiliser un code logiciel, les acteurs malveillants exploitent également l'infrastructure existante et les anciennes menaces pour se créer toujours plus d’opportunités. En se penchant sur les botnets en fonction de leur prévalence, force est de constater que nombre des principaux botnets ne présentent, en réalité, rien de nouveau. Par exemple, le botnet Morto, observé pour la première fois en 2011, a connu une recrudescence d’activité à la fin de 2022. D'autres, comme Mirai et Gh0st.Rat, continuent d'être actifs dans le monde entier. Étonnamment, sur les cinq premiers botnets observés, seul RotaJakiro date de cette décennie.
Bien qu'il puisse être tentant de considérer les anciennes menaces comme révolues, les entreprises doivent rester vigilantes. Les botnets "anciens" restent répandus pour une bonne raison : leur efficacité reste d’actualité. Les cybercriminels, qui ne manquent jamais de ressources, continueront à exploiter la structure existante des botnets et à générer des versions de plus en plus résistantes puisque ces malwares restent rentables. Plus précisément, au cours du 2ème semestre 2022, les principales cibles de Mirai étaient les fournisseurs de services managés de sécurité (MSSP), le secteur des télécoms, ainsi que celui de la production industrielle qui héberge de multiples infrastructures OT. Les criminels s’investissent donc pour cibler ces secteurs d’activité avec des méthodes éprouvées.
La vulnérabilité Log4j, toujours répandue, est ciblée par les cybercriminels
Malgré le buzz qui a entouré Log4j en 2021 et au début 2022, un grand nombre d'entreprises n'a toujours pas appliqué les correctifs et les mesures de sécurité appropriées pour se protéger contre l'une des vulnérabilités les plus importantes de l'histoire.
Au cours du 2ème semestre 2022, Log4j est resté très actif, juste derrière MS.Windows.CVE-2020-1381.Privilege.Elevation, une vulnérabilité liée aux privilèges dans Win32K. Selon les recherches de FortiGuard Labs sur les intrusions, MS.Windows est arrivé en tête des menaces IPS avec 3 entreprises sur 4 ayant détecté une activité y étant liée. Mais il convient de noter que 41% des entreprises ont également détecté Log4j, ce qui montre à quel point cette menace reste prévalente. Plus précisément, l'activité IPS autour de Log4j était la plus répandue dans les secteurs des technologies, des administrations et de l'éducation, ce qui n'est pas surprenant étant donné la popularité d'Apache Log4j en tant que logiciel open source.
L’historique récent des malwares souligne des changements dans les méthodes d’infection et rend la sensibilisation des utilisateurs plus urgente
L'analyse des stratégies adverses nous donne de précieuses indications sur l'évolution des techniques et tactiques d’attaque, pour ainsi mieux se protéger contre les scénarios futurs d’attaque. FortiGuard Labs s’est penché sur les fonctionnalités des logiciels malveillants détectés en se basant sur les données d’une sandbox, pour ainsi déterminer les méthodes de diffusion les plus courantes. Il est important de noter que cette étude ne porte que sur des échantillons qui ont été exécutés en sandbox.
En examinant les huit principales tactiques et techniques observées dans la sandbox, le téléchargement furtif (drive-by-compromise) ressort comme la tactique la plus populaire pour accéder aux systèmes des entreprises. Les assaillants accèdent généralement aux systèmes lorsqu'un utilisateur peu méfiant navigue sur Internet et télécharge involontairement un fichier malveillant lors de la consultation d’un site web compromis, quand il ouvre la pièce jointe d'un courriel malveillant, ou qu’il clique sur un lien ou un pop-up malveillant. Avec cette tactique du téléchargement furtif, il est difficile et souvent trop tard pour que l’utilisateur échappe à la contamination, à moins qu’une approche holistique de la sécurité ne soit déjà mise en œuvre.
S'adapter pour faire face aux menaces
Fortinet aide les RSSI et les équipes de sécurité à se prémunir contre les attaques, à minimiser l'impact des incidents et à mieux se préparer aux cybermenaces potentielles.
L’offre de solutions de sécurité Fortinet intègre un large panel d'outils puissants : pare-feu de nouvelle génération, outils de traitement analytique et de télémétrie réseau, EDR (Endpoint Detection and Response), XDR (Extended Detection and Response), DRP (Digital Risk Protection), SIEM (Security Information and Event Management), sandbox intégrée, techniques de leurre, SOAR (Security Orchestration, Automation, and Response), etc. Ces solutions assurent une détection et une prévention performantes des menaces qui aident les entreprises à identifier et traiter rapidement les incidents de sécurité sur l'ensemble de leur surface d'attaque.
En complément de ces solutions, et pour accompagner des équipes de sécurité souvent en sous-effectif, car impactée par la pénurie de compétences en cybersécurité, Fortinet propose également des services de veille et de réponse aux menaces, basés sur l'apprentissage automatique. Ces services fournissent des informations sur les menaces les plus récentes et permettent aux équipes de sécurité de réagir rapidement en minimisant l'impact sur leur entreprise. Les services de renforcement des ressources humaines des SOC et de veille sur les menaces de Fortinet aident également les équipes à mieux se préparer aux menaces et offrent des capacités de supervision et de réponse en temps réel aux menaces.
Cette suite complète de solutions et de services en cybersécurité permet aux DSSI et aux équipes de sécurité de se concentrer sur l’accompagnement de l’activité de leur entreprise et sur des projets plus prioritaires.
Profil du rapport
Ce nouvel opus du Global Threat Landscape Report résulte de travaux collectifs menés au sein de FortiGuard Labs et tire parti du panel mondial de capteurs de Fortinet qui a recueilli des milliards d’événements sur les menaces dans le monde sur le second semestre 2022. En tirant parti du framework MITRE ATT&CK qui catégorise les tactiques, techniques et procédures (TTP) des assaillants, le Global Threat Landscape Report décrit comment les cybercriminels identifient des vulnérabilités, définissent les infrastructures malveillantes et impactent leurs cibles. Ce rapport propose des perspectives mondiales et régionales et étudie les tendances liées aux menaces qui pèsent sur les environnements IT et OT.
Ressources complémentaires
- Abonnez-vous à notre blog pour découvrir les principaux enseignements de cette étude, ainsi que les perspectives de FortiGuard Labs sur les différentes thématiques du rapport pour les semaines à venir.
- Plus d’informations sur les recherches et la veille sur les menaces des FortiGuard Labs, ainsi que les alertes Outbreak qui permettent de juguler les attaques de cybersécurité en cours.
À propos de FortiGuard Labs
FortiGuard Labs est le laboratoire de recherche et de veille sur les menaces de Fortinet. Sa mission est de fournir aux clients de Fortinet des informations pertinentes sur les menaces, afin de les protéger contre les activités malveillantes et les cyberattaques sophistiquées. Cet organisme regroupe des chercheurs en menaces, analystes, ingénieurs et data scientists qui s’investissent dans la recherche et le traitement de menaces dans le monde entier. FortiGuard Labs surveille en permanence la surface d'attaque mondiale à l'aide de millions de capteurs réseau et de centaines de partenaires. Les informations recueillies sont analysées et traitées à l'aide de l'intelligence artificielle (IA) et d'autres technologies innovantes pour exploiter ces données de recherche sur les nouvelles menaces. Ces efforts se traduisent par des renseignements décisionnels donnant lieu à des mises à jour des produits de sécurité Fortinet. Les recherches proactives sur les menaces aident nos clients à mieux les comprendre et à cerner les acteurs malveillants auxquels ils sont confrontés. FortiGuard Labs propose également des services de conseil spécialisés pour aider les clients à mieux comprendre et maîtriser l’univers des menaces. Pour en savoir plus, merci de consulter le site de FortiGuard Labs.
À propos de Fortinet
Fortinet (NASDAQ : FTNT) est un acteur majeur de la cybersécurité qui contribue activement à faire converger réseau et sécurité. Notre mission est de protéger les utilisateurs, les dispositifs et les données, où qu’ils se trouvent. Aujourd’hui, nous déployons une cybersécurité sur le périmètre de votre choix, grâce à notre offre de plus de 50 produits professionnels. Plus d’un demi-million de clients font confiance aux solutions de Fortinet, des solutions déployées à grande échelle, bénéficiant de multiples brevets et reconnues par le marché. Fortinet Training Institute propose un programme de formation particulièrement riche en matière de cybersécurité à l’intention de tous, et notamment de celles et ceux qui souhaite s’orienter vers les métiers de la cybersécurité. FortiGuard Labs, la division de Fortinet dédiée à la veille et aux études sur les menaces, conçoit et utilise des technologies IA et de machine Learning performantes pour apporter aux clients une protection optimale et une veille décisionnelle sur les menaces. Pour en savoir plus, consultez le site https://www.fortinet.com/fr, le blog Fortinet ou FortiGuard Labs.
Steffy Bruyninx