1) Un chaton pas si charmant que ça : nos recherches témoignent d’une activité mondiale significative associée à Charming Kitten, un groupuscule spécialisé dans les menaces APT (Advanced Persistent Threat) et lié à l’Iran. Active depuis 2014, cette entité est associée à de nombreuses campagnes de cyberespionnage. Son activité récente suggère que Charming Kitten participe désormais également aux perturbations de certaines élections, comme le souligne une série d’attaques sur des comptes emails associés à une campagne d’élections présidentielles. De plus, Charming Kitten semble utiliser de nouvelles tactiques, quatre précisément, pour piéger les victimes et les inciter à partager des informations sensibles.

2) Plus de risques de sécurité associés à l’IoT : les objets connectés continuent à subir l’assaut de logiciels d’exploit qui affectent des dispositifs aussi inattendus que les caméras IP sans fil. Cette situation est exacerbée lorsque des composants et logiciels sont embarqués au sein de dispositifs commercialisés sous différentes marques et, parfois, par différents constructeurs. Nombre de ces composants et services sont souvent programmés à l’aide d’un code logiciel pré-écrit et issu de sources différentes. Ces composants communs et ce code pré-écrit sont parfois vulnérables, ce qui explique que certaines vulnérabilités apparaissent dans de nombreux dispositifs. L’étendue de ces vulnérabilités, associée à l’incapacité de patcher simplement ces dispositifs, constitue un défi toujours plus important et révèle les difficultés à sécuriser la supply chain. L’absence de patchs, la prévalence des vulnérabilités dans certains dispositifs IoT et les tentatives observées d’intégrer des dispositifs dans des botnets IoT sont autant de réalités qui font que ces exploits affichent le troisième volume le plus important des évènements détectés par les filtres IPS sur ce trimestre.

3) Les menaces historiques aident les nouvelles menaces : les entreprises oublient parfois que les exploits et vulnérabilités n’ont pas vraiment de date d’expiration : les assaillants continueront à les utiliser tant qu’elles sauront faire leurs preuves. C’est précisément le cas d’EternalBlue. Ce malware a été adapté au fil du temps pour exploiter des vulnérabilités communes. Il est au cœur de nombreuses campagnes malveillantes, celles des ransomware WannaCry et NotPetya notamment. De plus, un patch a été proposé en mai dernier pour BlueKeep, une vulnérabilité qui, lorsqu’exploitée, agit comme un ver se propageant aussi rapidement que WannaCry et NotPetya. Désormais, c’est une nouvelle version d’EternalBlue Downloader Trojan qui est apparue le trimestre dernier pour exploiter la vulnérabilité BlueKeep. Fort heureusement, la version actuelle qui circule n’est pas totalement opérationnelle, son chargement causant un crash sur les systèmes ciblés. Mais en se penchant sur le cycle de développement traditionnel des malware, des cybercriminels déterminés sont susceptibles, dans un futur proche, de disposer d’une version fonctionnelle, et donc potentiellement dévastatrice de ce malware. Et tandis qu’un patch pour BlueKeep est disponible depuis mai dernier, les entreprises restent encore trop nombreuses à n’avoir pas mis à jour leurs systèmes vulnérables. L’intérêt actuel que les assaillants portent à EternalBlue et BlueKeep rappelle aux entreprises qu’il est essentiel de patcher et sécuriser leurs systèmes contre ces deux menaces.

4) De nouvelles perspectives sur le spam mondial : le spam continue à être une problématique majeure tant pour les particuliers que pour les entreprises. En associant le volume de spam qui transite entre les nations avec les ratios de spam émis/spam reçu, ce nouveau rapport dévoile une nouvelle perspective sur une problématique ancienne. La majorité du volume de spam semble suivre les tendances économiques et politiques. À titre d’exemple, les principaux “partenaires“ de spam des États-Unis sont la Pologne, la Russie, l’Allemagne, le Japon et le Brésil. De plus, en termes de volume de spam exporté depuis les régions géographiques, l’Europe de l’Est est le tout premier exportateur de spam dans le monde, suivi par les régions asiatiques. Les autres régions européennes présentent un ratio de spam négatif, en recevant davantage de spam qu’elles n’en émettent, ce qui est également le cas pour le continent américain et l’Afrique.

5) Pister les cybercriminels pour se préparer aux exactions à venir : l’analyse des chiffres IPS au sein d’une région révèle les ressources qui sont ciblées, mais aussi celles qui le seront potentiellement dans le futur, soit parce que le succès de ces attaques est suffisamment important, ou simplement parce que certaines régions hébergent davantage un type de technologie qu’un autre. Mais attention, cela n’est pas toujours le cas. Prenons l’exemple de la Chine, un pays qui accueille la grande majorité des environnements ThinkPHP, 10 fois plus que les États-Unis selon shodan.io. En prenant l’hypothèse que les entreprises patchent leur logiciel au même rythme dans chacun de ces deux pays, si un botnet se contente de tester la vulnérabilité des instances de ThinkPHP avant de déployer un exploit, le nombre de ces tentatives détectées serait bien supérieur sur la zone APAC. Cependant, les alertes IPS suite à un récent exploit n’ont été que 6% supérieures sur l’ensemble de la zone APAC par rapport à l’Amérique du Nord, ce qui laisse penser que ces botnets tentent d’exploiter toutes les instances de ThinkPHP qu’elles trouvent. De plus, en prenant en compte les détections de malware, la majorité des menaces ciblant les entreprises sont des macros VBA (Visual Basic for Applications), simplement parce que cette méthode reste efficace et produit des résultats. De manière générale, le nombre de détections pour des techniques d’exploit ne portant pas leurs fruits ne reste pas élevé bien longtemps. Notons qu’un nombre élevé de détections indique que des attaques sont en cours.

Une sécurité large, intégrée et automatisée devient impérative

Alors que les applications prolifèrent et que le nombre de dispositifs connectés progresse, des milliards de nouveaux vecteurs d’attaque émergent et doivent être autant surveillés que protégés. De plus, les organisations subissent des attaques toujours plus sophistiquées ciblant une infrastructure digitale en expansion et étant, pour certaines d’entre elles, optimisées par l’intelligence artificielle et le machine learning. Pour sécuriser leur environnement multisite, les entreprises ne peuvent se contenter de protéger leur périphérie de réseau. Elles doivent également protéger leurs données disséminées sur leurs nouveaux edges réseau, et au niveau des utilisateurs, des systèmes, des dispositifs et des applications critiques. Seule une plateforme de cybersécurité conçue pour offrir une visibilité et une protection intégrales sur l’ensemble de la surface d’attaque (dispositifs, utilisateurs, endpoints mobiles, environnements multi-cloud et infrastructures SaaS) est capable de sécuriser les réseaux opérant leur transformation digitale.

À propos du rapport de sécurité et des indicateurs
Le Threat Landscape Report de Fortinet, rapport trimestriel issu des travaux collectifs de veille du FortiGuard Labs, capitalise sur un large panel mondial de capteurs déployés par Fortinet et recueillant des milliards d’évènements de sécurité dans le monde sur le quatrième trimestre 2019. Ce rapport présente des perspectives tant à l’échelle mondiale que régionale, ainsi que les études menées sur 3 domaines essentiels et complémentaires de l’univers des menaces : les exploits, les malware et les botnets.