Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Proofpoint Q2 2016 Quarterly Threat Summary : volume, mutation, puis silence

juillet 2016 par Proofpoint

Les cinq premiers mois de l’année 2016 ont été marqués par des campagnes d’e-mails malveillants dans des proportions inédites. De nouvelles variantes de ransomwares (ou « rançongiciels ») sont apparues rapidement. En parallèle, les utilisateurs de Dridex ont commencé à propager le ransomware Locky, changeant régulièrement de tactiques avec de nouveaux chargeurs et types de pièces jointes, et utilisant des techniques d’obfuscation afin d’éviter d’être repérés.

Puis, à la fin du mois de mai, l’un des réseaux d’ordinateurs zombies (dits « botnets ») les plus importants au monde a disparu subitement. La propagation de Dridex et de Locky s’en est trouvée presque interrompue. Dans le même temps, le logiciel Angler (« exploit kit » extrêmement populaire), kit tout-en-un qui automatise à grande échelle les cyberattaques Web, est devenu silencieux. Ces deux événements concomitants ont fait de juin un mois étrangement calme.

Pourtant, les menaces sur les réseaux sociaux, comme les comptes frauduleux de service client, ont continué de proliférer.
Quant aux menaces contre les téléphones portables, elles ont continué de cibler les failles multiples des dispositifs. Ces menaces avaient essentiellement pour objectif la prise de contrôle des appareils des victimes et le téléchargement de logiciels publicitaires malveillants, notamment sur les versions plus anciennes d’Android.

E-mails et logiciels « exploit kits »
•Les pièces jointes JavaScript ont favorisé une explosion du volume de messages malveillants, soit une augmentation de 230 % d’un trimestre à l’autre. De nombreux utilisateurs de Locky et Dridex ont profité des fichiers JavaScript, joints aux e-mails, pour installer des charges virales. Ces attaques figuraient parmi les campagnes les plus importantes que Proofpoint a pu observer et concernaient parfois des centaines de millions de messages par jour.

•Ransomware : Locky règne sur les messageries électroniques et CryptXXX domine la scène des « exploit kits ». Parmi les attaques lancées contre les messageries électroniques et qui propageaient des logiciels malveillants par l’intermédiaire de pièces jointes, 69 % d’entre elles utilisaient le nouveau ransomware Locky au deuxième trimestre 2016, alors que c’était le cas de seulement 24 % d’entre elles au premier trimestre. Cette percée a propulsé Locky en première place du classement des logiciels malveillants ciblant les messageries et lui a ainsi permis de détrôner Dridex. Apparu au cours du deuxième trimestre, CryptXXX a dominé rapidement la scène des « exploits kits ». Globalement, le nombre de nouvelles variantes de ransomwares (distribuées, pour la plupart d’entre elles, par des exploit kits) a été multiplié par un facteur de 5 à 6 depuis le dernier trimestre de l’année 2015.

•Les campagnes hautement personnalisées changent d’échelle. Les auteurs de menaces ont mené des campagnes hautement personnalisées visant des dizaines de centaines de milliers de messages. Il s’agit d’un changement d’échelle notable, les campagnes personnalisées et ciblées frappant autrefois un public nettement plus restreint.

•Les tentatives d’attaque contre les e-mails professionnels deviennent chose courante. Fait étonnant, 80 % d’un échantillon représentatif de la clientèle de Proofpoint fait état d’au moins une tentative d’hameçonnage de messagerie électronique professionnelle au cours du dernier mois. En outre, les cybercriminels ont adapté leurs leurres en fonction des événements saisonniers, comme la déclaration de revenus, et ont diversifié leurs méthodes d’approche afin d’accroître l’efficacité et l’ampleur de leurs attaques.

•Juin, un mois idyllique ? Le volume d’« exploit kits » observé par Proofpoint a chuté de 96 % entre avril et la mi-juin. Le « botnet » Necurs s’est tu en juin, entraînant avec lui dans le silence les campagnes massives de Locky et Dridex qui avaient marqué le premier semestre de l’année 2016. Angler, « exploit kit » de renom, avait disparu entièrement début juin, peu après l’abandon des opérations par Nuclear, autre « exploit kit » populaire. Fin juin, Neutrino était donc le principal « exploit kit » encore en activité.

•Le ransomware Locky est de retour. À la fin du mois de juin, les premières campagnes massives Locky ciblant les messageries étaient de retour, tous les paramètres indiquant que le botnet Necurs était de nouveau actif. Il reste à voir si la scène des « exploit kits » connaîtra une résurrection similaire au prochain trimestre.

Téléphones portables
•Dix millions d’appareils Android ont été la cible d’« exploit kits ». Ces logiciels ont identifié les faiblesses des systèmes visés et permis aux cybercriminels de prendre le contrôle des appareils. Dans la plupart des cas, cette prise de contrôle permettait le téléchargement de logiciels publicitaires, générant ainsi des profits au bénéfice des auteurs de menaces.

•98 % des logiciels malveillants affectant les téléphones portables restent associés à la plateforme Android. Cette proportion s’est maintenue depuis le dernier trimestre.

Réseaux sociaux
_•Les tentatives d’hameçonnage ont augmenté de 150 % sur les réseaux sociaux. Les organisations doivent en permanence lutter contre le spam et les contenus destinés aux adultes, entre autres, phénomènes qui dépassent leur capacité de résolution manuelle.


Voir les articles précédents

    

Voir les articles suivants