Communiqué de presse
Sep
30

Rapport WatchGuard Threat Lab : 91,5% des malwares sont diffusés via des connexions chiffrées HTTPS

Dans son dernier rapport en matière de sécurité Internet portant sur la période du 2ème trimestre 2021, WatchGuard met notamment en avant l’omniprésence des malwares chiffrés, l’augmentation spectaculaire des malwares sans fichier, et l’explosion des attaques réseau & ransomware.

Paris, le 30 septembre 2021 - WatchGuard® Technologies, leader mondial en matière de sécurité et d’intelligence réseau, de Wi-Fi sécurisé, d’authentification multifacteur et de protection avancée des postes de travail, publie aujourd'hui son dernier rapport trimestriel sur la sécurité Internet. Le rapport détaille les principales tendances en matière de malwares et menaces ciblant les réseaux, analysées par les chercheurs du WatchGuard Threat Lab au cours du deuxième trimestre 2021.

Le rapport du WatchGuard Threat Lab comprend également de nouvelles informations basées sur les renseignements relatifs aux menaces sur les endpoints, détectées au cours du premier semestre 2021. Les principaux résultats de la recherche ont révélé une proportion étonnante de 91,5 % de logiciels malveillants propagés via des connexions chiffrées HTTPS, une augmentation inquiétante du volume de malwares sans fichier, une croissance spectaculaire des ransomwares (WatchGuard estime que le volume d’attaques par ransomware aura augmenté de 150% en 2021 par rapport à 2020), des attaques réseau, et bien plus encore.

Corey Nachreiner, Chief Security Officer de WatchGuard commente : « Une grande partie du monde fonctionne encore largement dans un mode de travail mobile ou hybride, et malheureusement le périmètre traditionnel du réseau n'entre pas toujours en ligne de compte dans l'équation de la défense de la cybersécurité. Si une solide défense périmétrique reste un élément important d'une approche de sécurité en couches, une solide protection des endpoints (EPP) et une détection & réponse au niveau des endpoints (EDR) sont de plus en plus essentielles ».

Parmi ses conclusions les plus notables, le rapport de WatchGuard en matière de sécurité Internet pour le deuxième trimestre 2021 révèle :

  • Des quantités massives de malware sont diffusées via des connexions chiffrées - Au deuxième trimestre, 91,5 % des logiciels malveillants sont propagés par une connexion chiffrée, ce qui représente une augmentation spectaculaire par rapport au trimestre précédent. En d'autres termes, toute organisation qui n'utilise pas le chiffrement HTTPS passe à côté de 9/10ème de tous les logiciels malveillants sur le périmètre.
     
  • Les logiciels malveillants utilisent des outils PowerShell pour contourner les protections, y compris les plus robustes - AMSI.Disable.A est apparu dans la section des malwares de WatchGuard pour la première fois au premier trimestre connaissant immédiatement une forte progression au cours du trimestre, atteignant la deuxième place de la liste en termes de volume et la première place pour l'ensemble des menaces chiffrées. Cette famille de malwares utilise des outils PowerShell pour exploiter diverses vulnérabilités de Windows. Mais ce qui la rend particulièrement intéressante, c'est sa technique d'évasion. WatchGuard a découvert que AMSI.Disable.A manie un code capable de désactiver l'interface d'analyse antimalware (AMSI) dans PowerShell, ce qui lui permet de contourner les contrôles de sécurité des scripts avec sa charge utile malveillante sans être détecté.
     
  • Les menaces sans fichier (fileless malwares) montent en flèche et deviennent encore plus évasives - Au cours des six premiers mois de l'année 2021, les détections de logiciels malveillants provenant de moteurs de script comme PowerShell ont déjà atteint 80 % du volume total des attaques initiées par script de l'année dernière, ce qui représente une augmentation substantielle par rapport à l'année précédente. Au rythme actuel, les détections de logiciels malveillants sans fichier en 2021 sont en passe de doubler en volume par rapport à l'année précédente.
     
  • Les attaques réseau sont en plein essor malgré le passage à une main d'œuvre travaillant principalement à distance - Les appliances WatchGuard ont détecté une augmentation substantielle des attaques réseau, qui ont augmenté de 22 % par rapport au trimestre précédent et ont atteint le volume le plus élevé depuis début 2018Le premier trimestre a vu près de 4,1 millions d'attaques réseau. Au cours du trimestre suivant, ce nombre a encore bondi d'un million - traçant une trajectoire agressive qui souligne l'importance croissante du maintien de la sécurité du périmètre aux côtés des protections axées sur l'utilisateur.
     
  • Les attaques par ransomware reviennent en force - Alors que le nombre total de détections de ransomware sur les endpoints était en baisse de 2018 à 2020, cette tendance s'est interrompue au premier semestre 2021, le total semestriel ayant terminé juste à côté du total annuel de 2020. Si les détections quotidiennes de ransomware restent stables jusqu'à la fin de l'année 2021, le volume de cette année atteindra une augmentation de plus de 150 % par rapport à 2020. 
     
  • Les attaques de ransomware de grande envergure éclipsent les attaques de type « shotgun blast ». La désormais célèbre attaque Colonial Pipeline a démontré que les cybercriminels ne se contentent pas de cibler les services les plus vitaux - tels que les hôpitaux ou encore les infrastructures industrielles critiques - mais qu’ils semblent également intensifier les attaques à l’encontre de très grandes entreprises. WatchGuard examine – à travers l’analyse des incidents - les retombées des attaques et ce que l'avenir réserve à la sécurité des infrastructures critiques ainsi que les mesures que les organisations de tous les secteurs peuvent prendre pour se défendre contre ces attaques et ralentir leur propagation.
  • Les anciens services continuent de s'avérer des cibles de choix - Contrairement à l'habitude d'une ou deux nouvelles signatures observées dans les rapports trimestriels précédents, quatre nouvelles signatures figuraient parmi les 10 principales attaques réseau de WatchGuard au deuxième trimestre. La plus récente est une vulnérabilité 2020 dans le langage de script Web PHP, mais les trois autres ne sont pas nouvelles du tout. Il s'agit d'une vulnérabilité Oracle GlassFish Server de 2011, d'une faille d'injection SQL de 2013 dans l'application de dossiers médicaux OpenEMR et d'une vulnérabilité d'exécution de code à distance (RCE) de 2017 dans Microsoft Edge. Bien que datées, toutes présentent encore des risques si elles ne sont pas corrigées.
     
  •  Les menaces basées sur Microsoft Office restent populaires - Le deuxième trimestre a vu un nouvel ajout à la liste des 10 attaques réseau les plus répandues, et il a fait ses débuts tout en haut de la liste. La signature, 1133630, est la vulnérabilité RCE de 2017 mentionnée ci-dessus qui affecte les navigateurs Microsoft. Bien qu'il s'agisse d'un ancien exploit et qu’un correctif ait été mis en place, ceux qui n'ont pas encore appliqué de correctif risquent d'avoir un réveil brutal si un attaquant parvient à l'atteindre avant eux. En fait, une faille de sécurité RCE très similaire et de haute gravité, connue sous le nom de CVE-2021-40444, a fait les gros titres au début du mois lorsqu'elle a été activement exploitée dans le cadre d’attaques ciblées contre Microsoft Office et Office 365 sur des ordinateurs Windows 10. Les menaces basées sur Office restent populaires en matière de logiciels malveillants, c'est pourquoi WatchGuard continue de repérer des attaques de ce type. Heureusement, elles sont toujours détectées par les défenses IPS éprouvées.
     
  •  Les domaines de phishing se font passer pour des domaines légitimes et largement reconnus - WatchGuard a observé une augmentation de l'utilisation de malwares ciblant récemment les serveurs Microsoft Exchange et les utilisateurs de messagerie générique pour télécharger des Trojan d'accès à distance (RAT) dans des lieux hautement sensibles. Il est conseillé d'être très attentif à la sécurité et de surveiller les communications sortantes sur les appareils qui ne sont pas nécessairement connectés directement aux appareils connectés.

 

A propos des rapports trimestriels WatchGuard

Les rapports de recherche trimestriels de WatchGuard sont basés sur des données Firebox Feed anonymisées provenant de Firebox WatchGuard actives dont les propriétaires ont choisi de partager les données pour soutenir directement les efforts de recherche du Threat Lab. Au deuxième trimestre, WatchGuard a bloqué un total de plus de 16,6 millions de variantes de malwares (438 par appareil) et près de 5,2 millions de menaces réseau (137 par appareil). Le rapport complet comprend des détails sur les tendances supplémentaires en matière de malwares et d’attaques réseau au cours du deuxième trimestre 2021, une plongée encore plus profonde dans les menaces détectées au niveau des terminaux au cours du premier semestre 2021, des stratégies de sécurité recommandées et des conseils de défense essentiels pour les entreprises de toutes tailles et de tous secteurs, etc.

A propos de WatchGuard Technologies, Inc.

WatchGuard® Technologies, Inc. est un leader mondial de la cybersécurité unifiée. Notre Unified Security Platform® est pensée pour les fournisseurs de services managés afin d’assurer une sécurité de pointe augmentant l’évolutivité et la vélocité de leur entreprise tout en améliorant leur efficacité opérationnelle. Recommandés par plus de 17 000 revendeurs et prestataires de services spécialisés dans la sécurité et adoptés par plus de 250 000 clients, les produits et services primés de WatchGuard mettent en lumière des solutions d’intelligence et de sécurité réseau, de protection avancée des endpoints, d’authentification multifacteur et de Wi-Fi sécurisé. Ensemble, ils offrent les cinq éléments essentiels d’une plateforme de sécurité : sécurité complète, intelligence collective, clarté et contrôle, alignement opérationnel et automatisation. La société a établi son siège social à Seattle, dans l’État de Washington, et possède des bureaux dans toute l’Amérique du Nord, en Europe, en Asie-Pacifique et en Amérique latine. Pour en savoir plus, rendez-vous sur le site WatchGuard.com/fr.

Vous pouvez aussi suivre WatchGuard sur les réseaux sociaux : Twitter et LinkedIn. Et suivre le blog de WatchGuard : Secplicity, pour des informations en temps réel sur les dernières menaces ou vous abonner au podcast The 443 - Security Simplified.

WatchGuard est une marque commerciale déposée de WatchGuard Technologies, Inc. Toutes les autres marques sont la propriété de leurs détenteurs respectifs.