Les principales conclusions de l’étude font notamment apparaître les tendances suivantes :

o 95 % des malwares arrivent désormais via des connexions chiffrées.
o Le volume de malwares ciblant les endpoints diminue malgré des campagnes de plus en plus étendues.
o La détection des ransomwares est sur le déclin malgré une augmentation des attaques par double extorsion. Le Threat Lab a par ailleurs recensé 13 nouveaux groupes d’extorsion.
o Les vulnérabilités logicielles plus anciennes restent des cibles populaires pour les exploits des cybercriminels modernes.

Corey Nachreiner, Chief Security Officer chez WatchGuard explique : « Les données analysées par notre Threat Lab dans le cadre de notre dernier rapport soulignent les fluctuations des attaques par malware avancé et l’évolution continue des cybermenaces à multiples facettes. Pour les combattre efficacement, il faut une vigilance constante et une approche de sécurité multicouche. Il n’existe pas de stratégie unique utilisée par les acteurs malveillants lors de leurs attaques et certaines menaces présentent souvent des niveaux de risque variables selon les périodes de l’année. Les entreprises doivent rester continuellement en alerte pour surveiller ces menaces et utiliser une approche de sécurité unifiée, qui peut être administrée efficacement par des fournisseurs de services managés, afin de garantir une défense optimale ».

Le dernier rapport sur la sécurité d’Internet basé sur les données du deuxième trimestre 2023 présente, entre autres, les résultats notables suivants :

– 95 % des malwares se dissimulent derrière le chiffrement. La plupart des malwares se cachent derrière le chiffrement SSL/TLS utilisé par des sites web sécurisés. Les entreprises qui n’inspectent pas le trafic SSL/TLS au niveau du périmètre du réseau passent probablement à côté de la plupart des malwares. En outre, les malwares de type « zero day » sont tombés à 11 % du nombre total de détections, un niveau historiquement bas. Cependant, si l’on examine les malwares transmis par des connexions chiffrées, la part des détections esquivées passe à 66 %, ce qui indique que les malwares sophistiqués sont diffusés principalement par le biais du chiffrement.

– Le volume total de malwares ciblant les endpoints est en légère baisse, malgré une augmentation des campagnes de grande envergure. Au deuxième trimestre, la détection des malwares a connu une légère baisse de 8 % par rapport au trimestre précédent. Cependant, les attaques de malware ciblant les endpoints détectées par 10 à 50 systèmes ou par 100 systèmes ou plus ont augmenté en volume de respectivement 22 % et 21 %. L’augmentation des détections sur un plus grand nombre de machines indique que les campagnes étendues de malware ont augmenté entre le premier et le deuxième trimestre 2023.

– Les attaques à double extorsion par des groupes de ransomware ont augmenté de 72 % par rapport au trimestre dernier, le Threat Lab ayant recensé 13 nouveaux groupes d’extorsion. Cependant, l’augmentation des attaques par double extorsion intervient alors que les détections de ransomware sur les endpoints ont chuté de 21 % et de 72 % par rapport, respectivement, au trimestre et à l’année précédente.

– Six nouvelles variantes de malware dans le Top 10 des détections. Threat Lab a constaté une augmentation massive des détections pour le programme d’installation 3CX compromis, représentant 48 % du volume total des détections du Top 10 des menaces par malware du deuxième trimestre. En outre, Glupteba, un chargeur, botnet, voleur d’informations et cryptomineur multifacettes qui cible ses victimes apparemment au hasard dans le monde entier, a fait sa réapparition début 2023, après avoir été neutralisé en 2021.

– Les acteurs malveillants s’appuient de plus en plus sur les binaires Windows de type « living-off-the-land » pour diffuser des malwares. L’analyse des vecteurs d’attaque et de la façon dont les acteurs malveillants accèdent aux endpoints montre que les attaques qui utilisent les outils du système d’exploitation Windows, tels que WMI et PSExec, ont augmenté de 29 %, soit 17 % du volume total. Les malwares qui ont recours à des scripts tels que PowerShell ont chuté quant à eux de 41 % en volume. Les scripts restent le vecteur de diffusion de malware le plus courant, avec 74 % des détections globales. Les exploits basés sur les navigateurs ont diminué de 33 % et représentent 3 % du volume total.

– Les cybercriminels continuent de cibler les vulnérabilités logicielles plus anciennes. Les chercheurs de Threat Lab ont trouvé trois nouvelles signatures dans le Top 10 des attaques de réseau pour le deuxième trimestre, basées sur des vulnérabilités plus anciennes. L’une d’elle est une vulnérabilité de 2016 associée à un système de gestion de l’apprentissage open-source (GitHub) qui a été supprimé en 2018. Parmi les autres se trouvent une signature qui capte les débordements d’entiers dans PHP, le langage de script utilisé par de nombreux sites web, et une application de gestion HP et de débordement de mémoire tampon de 2010 appelée Open View Network Node Manager.

– Domaines compromis sur des blogs WordPress et service de raccourcissement d’URL. Lors de ses recherches sur les domaines malveillants, l’équipe du Threat Lab a rencontré des instances de sites web autogérés (tels que des blogs WordPress) et un service de raccourcissement de nom de domaine qui ont été compromis dans le but d’héberger des malwares ou un cadre de contrôle et de commande de malware. Par ailleurs, les acteurs malveillants Qakbot avaient compromis un site web dédié à un concours éducatif dans la région Asie-Pacifique afin d’héberger une infrastructure de commande et de contrôle de leur botnet.

Conformément à l’approche Unified Security Platform® de WatchGuard et aux précédentes mises à jour trimestrielles des études du WatchGuard Threat Lab, les données analysées dans ce rapport trimestriel sont basées sur des renseignements anonymes et agrégés sur les menaces provenant de produits réseau et endpoint WatchGuard actifs, que les propriétaires ont choisi de partager afin de soutenir directement les efforts de recherche de WatchGuard.

Le rapport du deuxième trimestre 2023 poursuit le déploiement des méthodes mises à jour de l’équipe Threat Lab afin de normaliser, d’analyser et de présenter les conclusions du rapport, dans la continuité du rapport du trimestre précédent. Les résultats sur la sécurité du réseau sont présentés sous forme de moyennes « par appareil » et, ce mois-ci, les méthodologies mises à jour s’étendent aux recherches du Threat Lab sur les attaques de réseaux et les malwares ciblant les endpoints.