Paris, le 4 janvier 2023 – WatchGuard® Technologies, leader mondial de la cybersécurité unifiée, publie son dernier Rapport trimestriel sur la sécurité Internet, qui présente les grandes tendances en matière de malwares et de menaces pour la sécurité des réseaux et des endpoints analysées par les chercheurs du Threat Lab de WatchGuard au 3ème trimestre 2022. Ses conclusions clés révèlent notamment que la principale menace du trimestre en matière de logiciels malveillants a été détectée exclusivement via des connexions chiffrées, que les attaques ICS conservent leur popularité, que le logiciel malveillant LemonDuck évolue au-delà du cryptominage, et qu’un moteur de triche Minecraft diffuse une charge utile malveillante.
« Nous ne saurions trop insister sur l’importance d’activer l’inspection HTTPS, même si elle nécessite quelques réglages et exceptions pour fonctionner correctement. La majorité des logiciels malveillants utilisent le protocole chiffré HTTPS, et ces menaces ne sont pas détectées en l’absence d’inspection », a déclaré Corey Nachreiner, Chief Security Officer chez WatchGuard Technologies. « À juste titre, les plus grands objets de convoitise des cybercriminels, comme les serveurs Exchange ou les systèmes de gestion SCADA, méritent également un maximum d’attention. Lorsqu’un correctif est disponible, il est important de procéder immédiatement à la mise à jour, car les cybercriminels finiront par tirer profit de toute organisation qui n’a pas encore mis en œuvre le dernier correctif. »
Le rapport sur la sécurité Internet du 3ème trimestre contient d’autres résultats clés, notamment :
- La grande majorité des logiciels malveillants empruntent des connexions chiffrées – Bien qu’il soit arrivé 3ème dans la liste classique des 10 principaux malwares du 3ème trimestre, Agent.IIQ a pris la tête de la liste des logiciels malveillants chiffrés pour cette même période. De fait, en regardant les détections de ce malware sur ces deux listes, il apparaît que toutes les détections d’Agent.IIQ proviennent de connexions chiffrées. Au 3ème trimestre, si une appliance Firebox inspectait le trafic chiffré, 82 % des logiciels malveillants détectés passaient par une connexion chiffrée, ce qui correspond à seulement 18 % de détections sans chiffrement. Si le trafic chiffré n’est pas inspecté sur Firebox, il est très probable que ce ratio moyen s’applique et que l’entreprise passe à côté d’une énorme partie des logiciels malveillants.
- Les systèmes ICS et SCADA restent les cibles d’attaques les plus courantes – Ce trimestre, une attaque de type injection SQL ayant touché plusieurs fournisseurs a fait son apparition dans la liste des dix principales attaques réseau. Advantech fait partie des entreprises concernées. Son portail WebAccess est utilisé pour les systèmes SCADA dans une variété d’infrastructures critiques. Un autre exploit sérieux au 3ème trimestre, également classé parmi les cinq principales attaques réseau en termes de volume, a visé les versions 1.2.1 et antérieures du logiciel U.motion Builder de Schneider Electric. Un rappel brutal du fait que les cybercriminels ne se contentent pas d’attendre tranquillement la prochaine opportunité, mais qu’ils cherchent activement à compromettre les systèmes chaque fois que cela est possible.
- Les vulnérabilités des serveurs Exchange continuent de poser des risques – La CVE la plus récente parmi les nouvelles signatures du Threat Lab ce trimestre, CVE-2021-26855, est une vulnérabilité d’exécution de code à distance (RCE) de Microsoft Exchange Server pour les serveurs sur site. Cette vulnérabilité RCE a reçu un score CVE de 9,8 et est connue pour avoir été exploitée. La date et la sévérité de CVE-2021-26855 devraient également rappeler qu’il s’agit de l’un des exploits utilisés par le groupe HAFNIUM. Si la plupart des serveurs Exchange affectés ont probablement déjà été corrigés, la plupart ne veut pas dire la totalité. Des risques subsistent donc.
- Les auteurs de menaces ciblent les internautes à la recherche de logiciels gratuits – Fugrafa télécharge un malware qui injecte du code malveillant. Ce trimestre, le Threat Lab en a examiné un échantillon trouvé dans un moteur de triche (cheat engine) pour le célèbre jeu Minecraft. Si le fichier partagé principalement sur Discord entend se faire passer pour le moteur de triche Minecraft Vape V4 Beta, son contenu ne s’arrête pas là. Agent.FZUW présente certaines similitudes avec Variant.Fugrafa, mais au lieu de s’installer par le biais d’un moteur de triche, le fichier lui-même prétend contenir un logiciel craqué. Le Threat Lab a découvert que cet échantillon particulier a des liens avec Racoon Stealer, une campagne de piratage de cryptomonnaies visant à dérober les informations de compte de services d’échange de cryptomonnaies.
- Le malware LemonDuck évolue au-delà du cryptominage – Malgré une baisse du nombre total de domaines de malwares bloqués ou suivis pour le 3ème trimestre 2022, le constat est sans appel : les attaques contre les utilisateurs peu méfiants sont toujours aussi nombreuses. Avec trois nouveaux ajouts à la liste des principaux domaines de malwares (dont deux anciens domaines de malwares LemonDuck et une partie d’un domaine classé Emotet), le 3ème trimestre a été caractérisé par une augmentation des sites ou tentatives de sites hébergeant des logiciels malveillants constituant des domaines récents. Cette tendance va évoluer avec les bouleversements traversés par les cryptomonnaies, à mesure que les attaquants chercheront d’autres vecteurs par lesquels tromper les utilisateurs. L’activation continue de la protection DNS est un moyen de surveiller et d’empêcher les utilisateurs peu méfiants d’introduire des logiciels malveillants ou d’autres problèmes graves au sein d’une organisation.
- Dissimulation de JavaScript dans les kits d’exploitation – La signature 1132518, une vulnérabilité générique permettant de détecter les attaques par dissimulation de JavaScript contre les navigateurs, a été le seul nouvel ajout à la liste des signatures d’attaques réseau les plus répandues ce trimestre. JavaScript est un vecteur courant d’attaque des utilisateurs, et les auteurs de menaces utilisent en permanence des kits d’exploitation basés sur JavaScript, notamment dans le cadre d’attaques de publicité malveillante (malvertising), d’attaques par « point d’eau » (watering hole) et d’attaques de phishing. Les fortifications défensives des navigateurs se sont améliorées et, avec elles, la capacité des cybercriminels à dissimuler du code JavaScript malveillant.
- La banalisation des attaques de type « Adversary-in-the-Middle » passée au crible – Si l’authentification multifacteur (MFA) est indéniablement la meilleure technologie qu’il est possible de déployer pour se protéger contre la plupart des attaques d’authentification, elle ne constitue pas à elle seule une solution miracle contre tous les vecteurs d’attaque. Les cybercriminels l’ont clairement fait savoir avec l’augmentation rapide et la banalisation des attaques AitM (Adversary-in-the-Middle). L’étude approfondie du Threat Lab sur EvilProxy, l’incident de sécurité le plus important du 3ème trimestre, montre à quel point les acteurs malveillants commencent à se tourner vers des techniques AitM plus sophistiquées. À l’instar de l’offre « Ransomware-as-a-Service » rendue populaire ces dernières années, la publication en septembre 2022 d’une boîte à outils AitM appelée EvilProxy a considérablement facilité l’accès à ce qui était auparavant une technique d’attaque sophistiquée. D’un point de vue défensif, la lutte contre ce type de technique d’attaque AitM nécessite de combiner outils techniques et sensibilisation des utilisateurs.
- Une famille de malwares liée à Gothic Panda – Le rapport du Threat Lab pour le deuxième trimestre 2022 expliquait que Gothic Panda (un acteur lié au ministère chinois de la Sécurité d’État) était connu pour utiliser l’un des principaux logiciels malveillants détectés au cours de ce trimestre. Il est intéressant de noter que la liste des principaux logiciels malveillants chiffrés pour le 3ème trimestre comprend une famille de malwares appelée Taidoor, qui a non seulement été créée par Gothic Panda, mais dont l’utilisation n’est par ailleurs attribuée qu’à des cyberacteurs du gouvernement chinois. Alors que ces malwares visent généralement des cibles au Japon et à Taïwan, l’échantillon Generic.Taidoor analysé ce trimestre a principalement ciblé des organisations en France, ce qui suggère que certaines appliances Firebox de cette région ont pu détecter et bloquer plusieurs parties d’une cyberattaque soutenue par un État.
- Nouveaux groupes d’extorsion et de ransomwares dans la nature – Ce trimestre, le Threat Lab est heureux d’annoncer un nouvel effort concerté pour suivre les actuels groupes d’extorsion par ransomware et développer ses capacités de renseignements sur les menaces afin de fournir davantage d’informations sur les ransomwares dans les prochains rapports. Au 3ème trimestre, LockBit arrive en tête de liste avec plus de 200 extorsions publiques sur sa page du Dark Web, soit près de quatre fois plus que celle de Basta, le deuxième groupe de ransomwares le plus prolifique observé par WatchGuard ce trimestre.
Les rapports trimestriels de WatchGuard s’appuient sur les données anonymisées du « Firebox Feed » provenant d’appliances Firebox WatchGuard en service dont les propriétaires ont accepté de partager les informations afin de soutenir directement les efforts de recherche du Threat Lab. Au 3ème trimestre, WatchGuard a bloqué en tout plus de 17,3 millions de variantes de malwares (211 par appliance) et plus de 2,3 millions de menaces réseau (28 par appliance). Le rapport complet comprend des informations sur d’autres tendances en matière de malwares et de réseaux pour le 3ème trimestre 2022, les stratégies de sécurité recommandées, des conseils de défense essentiels pour les entreprises de toutes tailles et de tous secteurs, et bien plus encore.
Pour connaître plus en détail les résultats des recherches de WatchGuard, lisez le rapport complet sur la sécurité Internet du 3ème trimestre 2022 ici.