L'indice Fortinet Threat Landscape Index atteint un nouveau record, soulignant une progression permanente du nombre de cyberattaques

L'indice Fortinet Threat Landscape Index atteint un nouveau record, soulignant une progression permanente du nombre de cyberattaques

Les cybercriminels misent toujours davantage sur les techniques d’évasion et de contournement des analyses antimalware pour éviter de se faire détecter

Diegem, le 22 août 2019 - Fortinet® (NASDAQ: FTNT), l'un des leader mondiaux de solutions de cybersécurité automatisées, intégrales et intégrées, annonce la publication de son tout dernier rapport trimestriel de sécurité Global Threat Landscape Report.

  • Cette étude révèle que les cybercriminels continuent à rechercher de nouvelles opportunités d’attaque sur l’ensemble de la surface d’attaque et qu’ils utilisent des techniques d’évasion et de contournement des analyses antimalware pour mener leurs attaques de manière plus sophistiquées et furtives.
  • L'indice Threat Landscape Index a franchi un nouveau cap ce trimestre, en progressant de près de 4% par rapport à sa valeur initiale sur une année, pour atteindre un pic annuel en fin du second trimestre 2019. Cette progression illustre la recrudescence de l’activité des malware et des exploits.
  • Pour le résultat détaillé des indicateurs d’activité des exploits, des botnets et des malware, et pour une synthèse décisionnelle à l’intention des DSI et RSSI, rendez-vous sur le blog. Voici néanmoins les temps forts de ce nouveau rapport :

Une progression des techniques d’évasion
De nombreux outils modernes de malware intègrent des fonctionnalités pour contourner les antivirus et autres mesures de détection : les cybercriminels ont affûté leurs armes pour gagner en furtivité, déjouer les analyses antimalware et éviter de se faire détecter.

À titre d’exemple, une campagne de spam illustre comment les assaillants utilisent et affinent ces techniques contre leurs cibles. Lors de cette attaque, un email de phishing est utilisé pour transmettre un fichier Excel avec une macro malveillante, dont l’objectif est de désactiver les outils de sécurité, d’exécuter des commandes de manière arbitraire, de causer des problèmes au niveau de la mémoire et de ne cibler que les systèmes japonais. Une de ses propriétés recherche plus particulièrement une variable xIDate, mais ce mode opératoire semble encore non documenté à ce jour.

Autre exemple, celui du cheval de troie bancaire Dridex qui modifie le nom et les hash des fichiers à chaque connexion de la victime, ce qui rend plus difficile l’identification du malware sur les systèmes hôtes infectés.

L’utilisation croissance de techniques d’évasion et de contournement des analyses antimalware incite à déployer différentes couches de sécurité et à s’orienter vers une détection comportementale des menaces.

Les attaques furtives visent le long terme 
Le malware Zegost de détournement de données, au cœur d’une campagne de spear phishing, présente des techniques pour le moins intrigantes. À l’instar d’autres outils similaires, l’objectif principal de Zegost est de recueillir des informations sur le dispositif de la victime et de les exfiltrer. Cependant, Zegost se distingue par sa furtivité, grâce notamment à une fonction de « nettoyage » des logs applicatifs, qui permet de masquer sa présence. D’autre part, Zegost présente également une commande de mise en attente jusqu’au 14 février 2019, date à laquelle il a initié son processus d’infection.

Les auteurs de Zegost ont su utiliser tout un arsenal d’exploits pour établir et maintenir une connexion avec leurs victimes, ce qui en fait une menace sur le long terme par rapport aux autres malware similaires. 

Le ransomware continue à se transmettre via des attaques toujours plus ciblées
Les attaques ciblant de multiples villes, collectivités locales et acteurs de l’enseignement rappellent que le ransomware reste d’actualité et qu’il continue à viser de nombreuses organisations. Les attaques par ransomware se font de moins en moins en masse et de manière opportuniste. Le ciblage est devenu une réalité et la priorité est donnée aux entreprises perçues comme susceptibles de régler une rançon. Dans certains cas, les cybercriminels procèdent à une phase amont approfondie de reconnaissance avant de déployer leur ransomware sur des systèmes identifiés avec précision, ce qui maximise les opportunités d’infection.

À titre d’exemple, le ransomware RobbinHood s’en prend à l’infrastructure réseau des entreprises. Il est capable de désactiver les services Windows qui préviennent le chiffrement des données, mais aussi de déconnecter les disques partagés. 

Un autre nouveau ransomware appelé Sodinokibi pourrait bien devenir la prochaine menace majeure pour les entreprises. D’un point de vue fonctionnel, il n’est pas vraiment différent de la majorité des outils de ransomware. Il se distingue néanmoins par son vecteur d’attaque puisqu’il exploite une nouvelle vulnérabilité qui permet l'exécution de code arbitraire et n'a pas besoin d'interaction de la part de l'utilisateur, comme c'est le cas pour d'autres logiciels de ransomware livrés par email phishing.

Quel que soit le vecteur utilisé, le ransomware reste, et restera, une menace sérieuse pour les entreprises : plus que jamais, le patching doit être prioritaire, au même titre que la sensibilisation des collaborateurs aux risques de cybersécurité.

De plus, les vulnérabilités du protocole RDP (Remote Desktop Protocol), comme BlueKeep, sont un avertissement que les services d'accès à distance peuvent être des opportunités pour les cybercriminels et qu'ils peuvent également être utilisés comme vecteur d'attaque pour diffuser des logiciels de rançon.

De nouvelles opportunités sur la surface d’attaque
Entre l'imprimante personnelle et les infrastructures critiques, émergent désormais de nombreux systèmes de contrôle à usage résidentiel et pour les petites entreprises. Ces systèmes intelligents attirent moins l'attention des assaillants que leurs homologues industriels, mais les choses peuvent évoluer compte tenu de l'augmentation observée de l'activité ciblant ces dispositifs de contrôle tels que les capteurs environnementaux, les caméras de sécurité, ou encore les systèmes de sécurité. Une signature liée aux solutions de gestion techniques du bâtiment a été émise par 1% des entreprises. Ce chiffre peut paraître peu élevé, mais il reste néanmoins supérieur à ce qu’on observe parmi les systèmes de contrôle industriel (ICS) et SCADA.

Les cybercriminels sont à la recherche de nouvelles possibilités de détourner les dispositifs de contrôle, tant au sein des espaces résidentiels que des entreprises. Parfois, ces types d'appareils ne sont pas aussi prioritaires que d'autres ou ne sont pas intégrés dans les processus traditionnels de gestion IT. La sécurité des systèmes intelligents résidentiels et pour les petites entreprises mérite une attention particulière, d'autant que la possibilité d’y accéder pourrait lourdement peser sur la sécurité. Ceci est particulièrement vrai pour les environnements de travail distants où la sécurité des accès reste critique. 

Comment protéger votre entreprise : une sécurité large, intégrée et automatisée
Une veille sur les menaces dynamique, proactive et en temps-réel permet d’identifier les tendances et les méthodes d’attaque qui ciblent la surface d’attaque, ainsi que les priorités en matière de pratiques de cybersécurité. La prise de décision basée sur une veille sur les menaces est fortement altérée s’il n’est pas possible de capitaliser en temps réel sur cette veille, à l’échelle de chaque dispositif de sécurité. Seule une Security Fabric large, intégrée et automatisée peut déployer une protection sur l’ensemble de l’environnement réseau, de l’IoT jusqu’à la périphérie et jusqu’au cloud, du cœur du réseau aux environnements multi-cloud, en optimisant la rapidité et l’évolutivité.

 “Les cybercriminels, avec leurs méthodes d’attaque toujours plus diversifiées et sophistiquées, opèrent de manière plus rapide et interconnectée. Les entreprises ciblées doivent procéder de même et donner la priorité aux fondamentaux de la sécurité pour mieux gérer et maîtriser les cyber risques. Une approche de type Security Fabric s’impose pour interconnecter l’ensemble des composantes de l’infrastructure de sécurité. La segmentation, une veille décisionnelle sur les menaces, l’automatisation et le machine learning sont devenus les nouvelles armes d’une cybersécurité qui, elle aussi, doit s’optimiser."
Filip Savat, Country manager Belux de Fortinet

À propos du rapport de sécurité et des indicateurs
Le Threat Landscape Report de Fortinet, rapport trimestriel issu des travaux collectifs de veille des FortiGuard Labs, capitalise sur un large panel mondial de capteurs déployés par Fortinet sur le second trimestre 2019. Ce rapport présente des perspectives tant à l’échelle mondiale que régionale. L’indice Fortinet Threat Landscape Index (TLI) est constitué d’indicateurs associés à 3 domaines essentiels et complémentaires de l’univers des menaces : les exploits, les malwares et les botnets. Ces indicateurs révèlent le niveau de prévalence et le volume de chacune de ces menaces sur un trimestre donné. 

Ressources supplémentaires

À propos de Fortinet
Fortinet (NASDAQ: FTNT) assure la sécurité des entreprises, fournisseurs de services et administrations parmi les plus grandes au monde. Fortinet apporte à ses clients une protection intelligente et transparente, véritable ligne de défense d’une surface d’attaque qui s’étend. Cette sécurité affiche des performances pérennes, adaptées aux réseaux décloisonnés actuels et à venir. Seule l’architecture Security Fabric de Fortinet est capable de déployer une sécurité sans compromis pour relever les défis de sécurité les plus critiques au sein des environnements réseaux, applicatifs, cloud ou mobiles. Fortinet est le leader parmi de nombreuses appliances de sécurité commercialisées dans le monde. Plus de 415 000 clients mondiaux font aujourd’hui confiance à Fortinet pour les protéger. Pour en savoir davantage : http://www.fortinet.com, le blog Fortinet ou FortiGuard Labs.

 

Ymke Deprez
Ymke Deprez PR Consultant at Evoke
A propos de Evoke

Founded in 2011, Evoke is a communication agency specialized in public relations and content marketing. We get your story told. Whether through press relations, social media, websites, newsletters or print, our consultants make sure you and your message will reach your target audience.

Evoke
Witte Patersstraat 4
1040 Brussel