
Depuis la réapparition en mars dernier, de la famille de ransomware Troldesh, les entreprises ont été confrontées à des attaques ciblées qui exploitent notamment les failles du Remote Desktop Protocol pour se connecter aux infrastructures systèmes, puis infecter manuellement les ordinateurs des entreprises, souligne les auteurs de l’étude. D’après les résultats de cette étude, des variantes de ransomwares particulières telles que Troldesh et GlobeImposter disposent désormais d'outils de mouvement latéral (tels que Mimikatz) pour infecter les entreprises et utilisent des mécanismes de nettoyage pour couvrir leurs traces.
À côté des ransomwares, les mineurs de monnaies numériques sont l’autre forme de malware la plus utilisée au cours de cette année. Pour cause, les mineurs de cryptomonnaies ont adopté plusieurs formes et utilisé différentes approches en 2017, soulignent les auteurs de l’étude. D’après eux, les habituels mineurs de monnaies illégaux se sont ainsi empressés d'adopter les tactiques de mouvement latéral mis à leur disposition via des exploits comme EternalBlue et EternalRomance, prétendument issus de la NSA, pour infecter les ordinateurs des entreprises et accentuer le minage. Le mineur Monero Adylkuzz, qui est apparu début de mai, à peu près en même temps que WannaCry, en est un exemple caractéristique.
L’étude menée par Bitdefender met également en exergue un autre développement intéressant dans le paysage des menaces de 2017, celui de la réémergence de Qbot (également connu sous le nom de Brresmon ou Emotet), un ver polyvalent, avec des fonctionnalités de détection de réseau et de mise en place de backdoor qui existe depuis des années. Il serait réapparu avec une refonte significative de l'infrastructure de commande et de contrôle ainsi qu'un plus important moteur polymorphe utilisant le cloud, afin de lui permettre de prendre un nombre de formes pratiquement illimitées pour éviter la détection des antivirus.
Source : Bitdefender
Et vous ?

Voir aussi

