Le paradoxe des cybermenaces

Au fur et à mesure que les environnements deviennent de plus en plus interconnectés, les menaces gagnent en complexité. Les incidents majeurs de sécurité survenus l'an passé mettent ce paradoxe en évidence, et leurs répercussions rendent la mise en œuvre de protections intelligentes d'autant plus importante.

L'année dernière, des épidémies massives de ransomware se sont transformées en événements mondiaux dont le coût pour les entreprises est estimé à des milliards de dollars. Des menaces plus familières, telles que les attaques BEC (Business Email Compromise), continuent à représenter un danger constant pour les entreprises. Entre-temps, l'augmentation forte et rapide de la valeur des crypto-monnaies volatiles a bouleversé le paysage des menaces. Pour prospérer dans cet environnement, les cybercriminels ont repensé leurs vieilles techniques afin de tirer profit des crypto-tendances et ont également essayé d'exploiter de manière innovante des vulnérabilités connues.




Les attaques de type ransomware prennent la tournure de véritables épidémies à l'échelle mondiale malgré le nombre réduit d'acteurs majeurs


Les attaques de type ransomware prennent la tournure de véritables épidémies à l'échelle mondiale malgré le nombre réduit d'acteurs majeurs

Le nombre de nouvelles familles de ransomware est passé de 32 % en 2016 à 327, démontrant la présence de développeurs de ransomware actifs essayant de tirer parti d'une tendance stable. Cependant, les menaces liées aux ransomwares détectées par l'infrastructure de sécurité Trend Micro™ Smart Protection Network™ ont pris la direction opposée pour diminuer de 41 %. Il semble que seules quelques-unes de ces familles ont réellement eu des répercussions en 2017.



2016
2017
De nouvelles familles de ransomware sont apparues en 2017 : Comparaison du nombre total de nouvelles familles de ransomware observées :
247
Nouvelles familles en 2016
327
Nouvelles familles en 2017



2016
2017
Nombre réduit d'acteurs majeurs malgré l'augmentation des nouvelles familles de ransomware : Comparaison du nombre total de menaces liées aux ransomwares observées
1 078 091 703
Menaces liées aux ransomwares en 2016
631 128 278
Menaces liées aux ransomwares en 2017

Cependant, les événements de ransomware ayant réellement affecté les utilisateurs ont été bien plus importants. Ces attaques généralisées ont frappé plusieurs pays et les dommages sont estimés à des milliards de dollars américains. Outre WannaCry et Petya, les deux ransomwares les plus connus Bad Rabbit est apparu récemment : en octobre, ce ransomware a frappé plusieurs entreprises en Russie, en Europe de l'Est et aux États-Unis.

Il s'agit d'une différence importante par rapport à 2016, où davantage d'incidents de ransomware ont été signalés, mais l'ampleur des dommages se limitait généralement à des bureaux localisés et la rançon demandée ne s'élevait qu'à quelques dizaines de milliers de dollars.

Familles de ransomware prédominantes : Les 10 principales familles de ransomware en 2017 restants de 2016

Les ransomwares restent une menace claire et constante puisque beaucoup d'anciennes familles affectent encore les utilisateurs du monde entier. Dans le même temps, les épidémies virulentes les plus récentes montrent que les nouvelles familles sont de plus en plus complexes et atteignent des cibles plus grandes. Les développeurs sont en perpétuelle expérimentation, à la recherche de stratégies rentables. En 2017, ils ont utilisé plusieurs nouvelles méthodes. Par exemple, nombre des pirates ont fait appel aux techniques d'infection sans fichier et d'évasion par préexécution de l'apprentissage automatique en plus de tirer profit des anciennes vulnérabilités.

Un ransomware efficace utilise généralement les exploits et techniques connus. Les entreprises doivent donc être méticuleuses et appliquer des politiques correctives appropriées, tout en sécurisant leurs systèmes au moyen de solutions multicouches.


Les menaces flexibles exploitent de manière innovante les vulnérabilités connues.


Les menaces flexibles exploitent de manière innovante les vulnérabilités connues.

Plusieurs vulnérabilités critiques et controversées ont été exploitées par des cybercriminels et utilisées dans le cadre des grandes campagnes de ransomware. Celles-ci comprenaient plus particulièrement les vulnérabilités connues qui ont été exploitées par EternalBlue et EternalRomance. Le premier a été utilisé dans les épidémies WannaCry et Petya, et le dernier a également été utilisé dans les attaques Petya et plus tard dans l'incident Bad Rabbit.

Les vulnérabilités connues ont également été exploitées à d'autres fins que la diffusion de ransomwares. EternalBlue a également été utilisé par un logiciel malveillant d'extraction afin de se propager sans fichier. La vulnérabilité Linux Dirty COW a été utilisée par ZNIU pour compromettre des dispositifs Android spécifiques.


VULNÉRABILITÉS ZERO-DAY
VULNÉRABILITÉS ZERO-DAY (SCADA)
2016
60
2017
119
2016
46
2017
113


Forte augmentation des vulnérabilités zero-day : Comparaison entre le nombre de vulnérabilités zero-day et le nombre de vulnérabilités zero-day liées à SCALA entre 2016 et 2017

En 2017, le nombre de vulnérabilités zero-day découvertes a également subi une forte augmentation, à hauteur de 98 %. En outre, sur les 119 vulnérabilités zero-day, toutes sauf 6 étaient liées au contrôle et à l'acquisition de données (SCADA). L'attention accrue accordée à SCADA est particulièrement importante puisque le fonctionnement de grands complexes industriels et d'infrastructures stratégiques dépend de cette architecture de système de contrôle. Si elles sont exploitées, les vulnérabilités zero-day peuvent engendrer des pertes et des dommages considérables.


Au milieu de cette prise de conscience grandissante de la menace, les arnaques BEC sont toujours en augmentation


Au milieu de cette prise de conscience grandissante de la menace, les arnaques BEC sont toujours en augmentation

Les cas passés ont souligné le risque que les arnaques BEC posent à tous les types d'entreprises, des grandes multinationales aux petites entreprises. Cependant, malgré la prise de conscience grandissante, les arnaques BEC ont encore prédominé et augmenté en 2017. En décembre, un incident aurait coûté à une compagnie de transport japonaise 3,4 millions de dollars américains. Cette arnaque spécifique s'est concentrée sur une technique répandue appelée l'arnaque fournisseur : usurper l'identité d'un fournisseur tiers et manipuler l'entreprise afin qu'elle transfère des fonds. Lors d'un autre incident signalé en juillet, plusieurs organisations en Allemagne ont reçu de fausses notes de la part des « dirigeants » dans lesquelles il était demandé au personnel comptable d'envoyer des fonds vers des comptes frauduleux.

Nos données montrent une forte augmentation d'environ 106 % des tentatives entre le premier semestre 2017 et le second semestre. Comme pour les années précédentes, les postes les plus ciblés étaient ceux liés à la finance : directeur financier, contrôleur financier, gestionnaire financier et directeur des finances. Les plus usurpés étaient les postes de cadres supérieurs : président-directeur général (PDG), administrateur délégué et président.

Tentatives de BEC enregistrées en 2017

Premier semestre
3175
Deuxième 969
6533

Les tentatives de BEC ont plus que doublé entre le premier et le deuxième semestre : Comparaison des tentatives de BEC entre le premier et le deuxième semestres 2017

L'ascension fulgurante de la
crypto-monnaie inspire d'autres logiciels malveillants d'extraction et d'autres menaces

L'ascension fulgurante de la
crypto-monnaie inspire d'autres logiciels malveillants d'extraction et d'autres menaces

La valeur de la crypto-monnaie, notamment le bitcoin, a explosé au second semestre 2017. Au début du mois de juillet, 1 bitcoin était évalué à environ 2 500 dollars américains, et au 31 décembre, sa valeur avait dépassé les 13 800 dollars américains. Cette augmentation forte et rapide a apparemment incité les cybercriminels à cibler la crypto-monnaie par différentes méthodes. Certains ont utilisé des attaques d'ingénierie sociale afin de cibler directement les portefeuilles de crypto-monnaie, alors que d'autres ont fait évoluer les anciennes menaces ransomware pour en arriver au même résultat. Certains ont même tenté d'extraire la crypto-monnaie à l'aide d'un logiciel malveillant mobile, malgré l'improbabilité de gagner un montant important de cette manière.

Certaines entreprises avaient tenté de tirer parti de la crypto-monnaie en utilisant des logiciels d'extraction en tant qu'alternative à la publicité Web, mais les cybercriminels en ont rapidement profité. À la mi-2017, les cybercriminels ont commencé à utiliser de manière abusive le plus populaire des outils d'extraction open-source, Coinhive. Dès novembre, une version très utilisée de l'extracteur Coinhive se classait au sixième rang des logiciels malveillants les plus répandus dans le monde, même si celui-ci était censé n'être qu'un moyen alternative légal destiné à rapporter de l'argent aux sites Web.

Ce sont des menaces particulièrement importantes puisque les entreprises commencent à utiliser la crypto-monnaie et même à lancer la leur ; les gouvernements, y compris ceux du Venezuela et de Dubaï, aux Émirats arabes unis, créent également leur propre crypto-monnaie. Les solutions de sécurité incluant l’apprentissage automatique haute-fidélité, les services d'évaluation de la réputation des sites Web, le contrôle des comportements et le contrôle des applications peuvent aider à minimiser les conséquences de ces menaces.

Paysage des menaces

L'infrastructure de sécurité Trend Micro™ Smart Protection Network™ a bloqué plus de 66 milliards de menaces en 2017. Plus de 85 % de ces menaces étaient des e-mails au contenu malveillant. Les e-mails ont toujours été le point d'entrée le plus populaire des cybercriminels auprès des utilisateurs.

Paysage des menaces

L'infrastructure de sécurité Trend Micro™ Smart Protection Network™ a bloqué plus de 66 milliards de menaces en 2017. Plus de 85 % de ces menaces étaient des e-mails au contenu malveillant. Les e-mails ont toujours été le point d'entrée le plus populaire des cybercriminels auprès des utilisateurs.

Menaces globales bloquées

66436980714


Premier semestre 2016
28 658 837 969
Premier semestre 2017
38 451 584 224
Deuxième semestre 2016
53 226 272 934
Deuxième semestre 2017
27 985 396 490


Nombre réduit de menaces bloquées en 2017 par rapport à 2016 : Menaces globales bloquées par l'infrastructure Smart Protection Network de Trend Micro, 2016 par rapport à 2017

Par comparaison, plus de 81 milliards de menaces ont été bloquées en 2016. Nous pensons que la baisse du nombre de menaces peut être attribuée au passage des méthodes de type « spray and pray » à une approche plus ciblée des attaques.


Variation de la direction du compte de la vulnérabilité : Comparaison des vulnérabilités constatées par fournisseur entre 2016 et 2017


Événement Nombre d'événements
Extraction de la crypto-monnaie 45 630 097
Connexion avec le mot de passe par défaut TELNET 30 116 181
MS17-010 SMB 12 125 935
Connexion force brute 3 714 051
ICMP BlackNurse 1 792 854
Autres 16 701 211

Les évènements d'extraction de crypto-monnaie et TELNET ont été plus nombreux que les autres : Événements réseau en 2017 basés sur les données de la solution Trend Micro™ Smart Home Network


Année Divulgations de données Documents concernés
2016 813 3 310 435 941
2017 553 4 923 053 245

Moins de divulgation, plus de documents concernés : Comparaison entre le nombre de divulgations de données et le nombre de documents concernés entre 2016 et 2017

* Remarque : la divulgation des données de Yahoo signalé en octobre 2017 se reflète dans le nombre de documents concernés pour 2017. Les chiffres sont calculés sur la base de données fournies par Privacy Rights Clearinghouse.

D'autres histoires de sécurité importantes survenues en 2017 sont disponibles dans notre rapport, où nous donnons des détails sur la façon dont les cybercriminels ont utilisé de façon abusive des appareils interconnectés (Internet des objets) et comment les grandes entreprises ont été touchées par des violations massives de données. Lisez notre rapport annuel sur la sécurité et découvrez ce qu'il y a de nouveau dans le paysage des menaces et quelles stratégies de sécurité vous pouvez adopter pour lutter contre les menaces actuelles et émergentes.

TÉLÉCHARGER LE RAPPORT COMPLET (PDF/angl.)