Paris – le 29 juin 2023 - WatchGuard® Technologies, leader mondial de la cybersécurité unifiée, annonce aujourd'hui les conclusions de son dernier rapport sur la sécurité Internet, lequel détaille les principales tendances en matière de malwares et de menaces pour la sécurité des réseaux et des endpoints, analysées par les chercheurs du Threat Lab de WatchGuard au 1er trimestre 2023. Les principales conclusions issues de l’étude de ces données font apparaître plusieurs tendances majeures : les attaquants utilisent des stratégies d'ingénierie sociale basées sur les navigateurs web pour mener des attaques de phishing, de nouveaux logiciels malveillants s’avèrent être associés à des acteurs étatiques, la présence de malwares « zero day » reste préoccupante, enfin, les attaques de type « living-off-the-land » connaissent une augmentation significative. Cette édition du rapport comporte également une nouvelle section dédiée au suivi et à l'analyse trimestriels des ransomwares par l'équipe du Threat Lab.
« Il demeure crucial pour les entreprises de maintenir une vigilance active et constante en ce qui concerne les solutions et stratégies de sécurité existantes sur lesquelles elles s'appuient. C’est la meilleure façon de se protéger efficacement contre les menaces de plus en plus sophistiquées qui émergent, » a déclaré Corey Nachreiner, Chief Security Officer chez WatchGuard. « Le rapport met en évidence les principaux thèmes et les meilleures pratiques identifiés par notre Threat Lab, mettant l'accent sur la sécurité multicouche pour contrer les logiciels malveillants et les attaques de type « living-off-the-land » qui exploitent des applications et des processus standards installés sur les ordinateurs de leur victime pour camoufler des activités de phishing. Une approche simple et efficace consiste à utiliser une plateforme de sécurité unifiée gérée par des fournisseurs de services managés. »
Parmi les conclusions les plus notables, le rapport sur la sécurité Internet de WatchGuard pour ce premier trimestre 2023 révèle notamment ce qui suit :
- Avec l'amélioration des protections contre les fenêtres pop-up abusives dans les navigateurs Web, de nouvelles tendances émergent en matière d'ingénierie sociale. Les attaquants exploitent désormais les fonctionnalités de notification des navigateurs pour induire des interactions similaires et atteindre leurs objectifs malveillants. Parmi la liste des principaux domaines malveillants de ce trimestre, il faut par ailleurs noter une concentration des activités destinées à positionner les sites web malveillants dans les meilleurs résultats de recherche.
- Les acteurs chinois et russes sont responsables de 75 % des nouvelles menaces qui figurent dans le Top 10 ce trimestre. Trois quarts des nouvelles menaces identifiées dans le rapport sont étroitement liées à des États-nations, sans que l’on puisse nécessairement affirmer que ces acteurs malveillants bénéficient d'un soutien direct des gouvernements. Un exemple tiré du dernier rapport de WatchGuard est la famille de malwares Zuzy, qui apparaît pour la première fois dans le top 10 des malwares ce trimestre. L'un des composants de Zusy découverts par le Threat Lab cible la population chinoise avec un logiciel publicitaire qui installe un navigateur compromis. Ce navigateur est ensuite utilisé pour détourner les paramètres Windows du système et pour faire office de navigateur par défaut.
- Persistance des attaques contre les produits Office, et le firewall Microsoft ISA en fin de vie - Les analystes de Threat Lab constatent encore que les menaces contenues dans des documents Office figurent dans la liste des malwares les plus répandus ce trimestre. Du côté du réseau, l'équipe a également remarqué que les exploits à l’encontre du serveur ISA (Internet Security and Acceleration), ce firewall de Microsoft, déclaré en fin de vie par l’éditeur, obtenaient un nombre relativement élevé d'occurrences. Étant donné que ce produit n'est plus commercialisé depuis longtemps et qu'il n'est plus mis à jour, il est assez étonnant de voir les attaquants le cibler.
- Les attaques de type « living-off-the-land » sont en hausse - Le malware ViperSoftX examiné dans l'analyse DNS du 1er trimestre est le dernier exemple en date de malware exploitant les outils intégrés aux systèmes d'exploitation pour atteindre leurs objectifs. L'apparition continue de malwares contenus dans des ressources Microsoft Office et PowerShell dans ces rapports, trimestre après trimestre, souligne la nécessité d'une protection des endpoints capable de différencier l'utilisation légitime ou malveillante d'outils courants tels que PowerShell.
- Des « malwares droppers » qui ciblent les systèmes basés sur Linux - L'une des nouvelles détections de malwares les plus importantes en volume au premier trimestre est un malware dropper ciblant les systèmes basés sur Linux. Bien que Windows domine le paysage des entreprises, il est fondamental pour les entreprises de ne pas négliger Linux et macOS. Les ordinateurs non Windows doivent impérativement être pris en compte lors du déploiement de solutions de protection des endpoints (EDR) afin d’assurer une couverture complète de l’environnement IT.
- Les malwares de type « zero day » sont à l’origine de la majorité des détections – Ce trimestre, les malwares de type « zero day » ont représenté 70 % des détections sur du trafic web non chiffré, et 93 % des détections sur du trafic web chiffré, des chiffres impressionnants. Les malwares « zero day » peuvent infecter des dispositifs IoT, des serveurs mal configurés et d’autres dispositifs qui n’utilisent pas de défenses robustes basées sur l’hôte comme WatchGuard EDPR (Endpoint Protection Defense and Response).
- Nouvelles perspectives basées sur les données de suivi des ransomwares – Au premier trimestre 2023, le Threat Lab a comptabilisé 852 victimes publiées sur des sites d’extorsion et découvert 51 nouvelles variantes de ransomwares. Ces groupes de ransomware continuent de publier des noms de victimes à un rythme alarmant. Certaines sont des entreprises et des organisations bien connues, figurant par exemple au classement Fortune 500. A chaque nouvelle édition, le Threat Lab de WatchGuard publie le résultat de ses recherches sur les récentes évolutions et analyses de suivi des ransomwares.
Conformément à l'approche de la Unified Security Platform® de WatchGuard et aux précédentes mises à jour de recherche trimestrielles du WatchGuard Threat Lab, les données analysées dans ce rapport trimestriel proviennent de renseignements anonymisés et agrégés sur les menaces. Ces données sont collectées à partir des produits WatchGuard actifs pour le réseau et les endpoints, avec le consentement des propriétaires qui choisissent de partager leurs données pour soutenir directement les efforts de recherche de WatchGuard.
La nouveauté pour cette analyse du T1 2023 est que l'équipe du Threat Lab a mis à jour les méthodes utilisées pour normaliser, analyser et présenter les résultats du rapport. Si les résultats des recherches publiées au cours des trimestres précédents étaient principalement présentés sous forme d'agrégats (volumes totaux globaux), ce trimestre et par la suite, les résultats relatifs à la sécurité du réseau seront présentés sous forme de moyennes « par device » pour l'ensemble des appliances réseau soumises à un rapport. Le rapport complet comprend des détails concernant cette évolution et la raison d'être de la méthodologie mise à jour, ainsi que des précisions sur d'autres tendances en matière de malware, de réseau et de ransomware pour le premier trimestre 2023, des stratégies de sécurité recommandées, des conseils de défense essentiels pour les entreprises de toutes tailles et de tous secteurs.
Pour un aperçu plus approfondi de la recherche de WatchGuard, le rapport complet du 1er trimestre 2023 sur la sécurité Internet est accessible ici.