Fortinet publie un rapport sur l'écosystème des menaces informatiques au T1

Les cybercriminels préfèrent le cryptojacking aux ransomwares

Fortinet a publié son rapport trimestriel sur l’écosystème des menaces informatiques durant le premier trimestre de 2018. Le rapport a été divisé en trois grands groupes : les exploits, les logiciels malveillants et les botnets.

Exploits

Les chercheurs expliquent que ceux-ci viennent donner un aperçu des tentatives des pirates pour identifier et compromettre les systèmes vulnérables. Ils précisent que lorsque ces tentatives sont repérées, cela ne signifie pas nécessairement que l'attaque a réussi ou même que les vulnérabilités ciblées existent dans l'environnement.

Alors que Meltdown et Specter ont dominé dans cette catégorie au premier trimestre et que Microsoft a continué d'être la cible numéro un des exploits, les routeurs ont pris la seconde place en terme de volume total d’attaques. Il faut également noter qu’un ensemble de technologie orientée Web (SSL, Telnet, SSH, HTTP, Bash, PHP et Apache) ont également été très visées.

Sans surprise, WordPress et Joomla, deux des systèmes de gestion de contenu Web les plus populaires, font également partie de la liste. Drupal, un autre CMS, n’est pas mentionné dans la figure ci-dessous bien que les chercheurs bien que les chercheurs estiment qu’il est important d’en parler en raison d'une forte vulnérabilité critique d'exécution de code à distance (RCE) (CVE-2018-7600) qui a été divulguée fin mars 2018. Cette vulnérabilité a une grosse implication en sécurité car elle permet à tout utilisateur, disposant de n'importe quel privilège, d'accéder, de modifier ou de supprimer toutes les données sur un site Web compatible Drupal.

Netcore occupe la deuxième place derrière Microsoft en termes de volume total d’attaques, alors qu'un exploit particulier ciblant les appareils D-Link2 a gagné plus de terrain que toute autre technologie sur l'axe de la prévalence au premier trimestre. « Cela démontre que les attaquants continuent à scanner internet de long en large à la recherche de vulnérabilités IdO ».


Logiciels malveillants

L'étude des tendances des logiciels malveillants est bénéfique car elles reflètent non seulement les intentions mais également la capacité des pirates. Comme pour le cas des exploits, les chercheurs rappellent que les détections de logiciels malveillants de leurs capteurs n'indiquent pas toujours des infections réelles, mais plutôt l’armement du code et / ou des tentatives visant à cibler des victimes et des systèmes. Les détections peuvent se produire aussi bien sur le réseau que sur une application.

Si leur croissance était encore faible il y a quelques années, plus d'une organisation sur cinq rapporte maintenant des logiciels malveillants sur mobiles (en hausse de 7%, à 21%).


Les ransomware continuent à perturber les réseaux

La croissance à la fois du volume et de la sophistication des rançongiciels continue d'être un défi de sécurité important pour les organisations, en particulier dans les segments à forte valeur ajoutée tels que la santé, l'éducation et les services financiers. Les ransomware continuent leur évolution, tirant parti de nouveaux canaux de distribution tels que l'ingénierie sociale, et de nouvelles techniques telles que les attaques multi-étapes pour échapper à la détection et infecter les systèmes.

Par exemple, le ransomware GandCrab a émergé en janvier et il s’est fait remarqué par le fait qu’il a été le premier à exiger la crypto-monnaie DASH comme moyen de paiement. Selon Europol, il a infecté 50 000 victimes en moins d'un mois. BlackRuby et SamSam étaient deux autres variantes de ransomware qui ont émergé comme des menaces majeures au cours du premier trimestre de 2018, SamSam ayant obtenu une notoriété pour son attaque de l'infrastructure administrative d'une grande ville américaine en mars. Et une attaque de ransomware distincte, connue sous le nom de Olympic Destroyer, a presque mis les Jeux olympiques d'hiver hors ligne des heures avant les cérémonies d'ouverture.

Le cryptojacking affecte plus d'une organisation sur quatre

Une tendance grandissante que FortiGuard Labs suit est le cryptojacking. Comme son nom le suggère, le cryptojacking consiste à utiliser secrètement les ressources de votre dispositif pour miner de la cryptomonnaie.

Alors que ce genre de malware n'a affecté que 13% des entreprises au quatrième trimestre 2017, il a plus que doublé au premier trimestre pour atteindre 28% des entreprises. Il montre également une diversité incroyable pour une menace relativement nouvelle. Rappelons que l’idée du cryptojacking est née en mi-septembre lorsque CoinHive a proposé un script pour le minage de cryptomonnaies (monero en l'occurrence). Parmi les sites Web qui l’ont adopté, figure The Pirate Bay, le site de partage P2P, qui s’est appuyé sur les ressources de ses utilisateurs comme moyen alternatif de financement.

Les chercheurs assurent être tombés sur des mineurs documentés ciblant plusieurs systèmes d'exploitation ainsi que différentes crypto-monnaies parmi lesquelles BitCoin, Dash et Monero.



Une nouvelle itération consiste à injecter du JavaScript malveillant sur des sites Web vulnérables ou à le diffuser via des campagnes de phishing. Les variantes JavaScript sans fichier ont pu incorporer du code malveillant dans des pages Web légitimes afin de compromettre les appareils en visite. Le simple fait de parcourir un site infecté peut permettre aux pirates de détourner les cycles du processeur pour effectuer une cryptographie au nom d'un cybercriminel. En outre, ETERNAL BLUE, qui a été utilisé dans les attaques WannaCry a été reconverti pour une campagne de cryptojacking appelée WannaMine.

Les cryptojackers ont clairement découvert que les systèmes de détournement de fonds à exploiter pour les cryptomonnaies sont une entreprise rentable, les chercheurs s’attendent donc à des investissements continus et à l'innovation dans ce modèle économique.

Si vous craignez que votre système mine de la crypto-monnaie pour le compte de cybercriminels, commencez par vérifier le Gestionnaire des tâches (Windows), le Moniteur d'activité (Mac) et le « top » sur la ligne de commande Linux. L'utilisation de ces outils permet aux équipes informatiques de répertorier tous les processus s'exécutant sur un réseau ou un périphérique, puis de trouver et de tuer le processus coupable qui consomme des ressources.

Botnets

Alors que les tendances sur les exploits et les logiciels malveillants montrent généralement le côté pré-compromission des attaques, les botnets donnent plutôt un point de vue post-compromission. Une fois infectés, les systèmes communiquent souvent avec un hôte malveillant et un tel trafic dans un environnement d'entreprise indique que quelque chose s'est mal passé. Cela rend cet ensemble de données précieux dès lors qu’on adopte une perspective « apprendre de nos erreurs ».

Selon le rapport, la grande majorité des infections par des logiciels malveillants de botnets durent moins d'une journée. Les données Fortinet incluent des informations provenant de tous les types de botnets, ciblant les ordinateurs de bureau, les appareils mobiles, les serveurs, l'IdO mais également les périphériques réseau.

Selon le rapport, la grande majorité des infections botnet (58%) durent moins d'une journée; 17,6% des botnets persistent deux jours de suite; 7,3% trois derniers jours; et ainsi de suite - tandis que seulement 5% persistent pendant plus d'une semaine.

Le botnet qui a le taux de persistance le plus long par bot est Mirai, un botnet qui infecte les périphériques IdO, qu'il utilise principalement pour lancer des attaques DDoS. La durée de vie moyenne d'un bot Mirai est de 5,5 jours. Mirai est suivi par d'autres botnets, tels que Sality (spam & proxy), Ramnit (cheval de Troie bancaire), H-worm (téléchargeur), Necurs (spam), et d'autres.


Mais selon Fortinet, malgré sa persistance accrue, Mirai n'est pas le botnet le plus répandu. Au premier trimestre de 2018, cette distinction va au botnet créé par les victimes infectées du logiciel malveillant Gh0st, un « téléchargeur de logiciels malveillants » relativement nouveau qui infecte les victimes et qui loue ensuite les PC infectés à d'autres cybercriminels.

Au premier trimestre 2018, Gh0st était de loin la version la plus répandue des logiciels malveillants de botnet, classée n ° 1 sur tous les continents, suivie par le botnet spam Pushdo, et le botnet Andromeda, qui était la cible d'une opération de maintien de l'ordre, est revenu vivre.

La raison en est que le code source d'Andromeda a été divulgué en ligne il y a quelques années, et alors que le botnet original a été retiré, d'autres escrocs ont installé et ont lancé de nouveaux botnets Andromeda en quelques jours.


Dans l'ensemble, les botnets ont connu une trajectoire descendante au...