Les principales conclusions montrent une augmentation des cas d’utilisation abusive des logiciels d’accès à distance, la montée en puissance des cyberattaquants qui utilisent des voleurs de mots de passe et de données (stealers) pour s’emparer d’informations d’identification précieuses, et le recours par les acteurs malveillants non plus à des scripts, mais à des techniques de type « living off the land » pour lancer une attaque sur les endpoints.

Corey Nachreiner, Chief Security Officer de WatchGuard souligne : « Les acteurs malveillants emploient sans cesse de nouveaux outils et méthodes pour mener leurs campagnes d’attaque. Il est donc essentiel que les entreprises se tiennent au courant des dernières tactiques afin de renforcer leur stratégie de sécurité. Les plateformes de sécurité modernes, qui intègrent des pare-feux et des logiciels de protection des endpoints, peuvent renforcer la protection des réseaux et des appareils. En revanche, lorsque les attaques font appel à des tactiques d’ingénierie sociale, l’utilisateur final représente la dernière ligne de défense pour empêcher les acteurs malveillants de s’infiltrer dans les entreprises. Il est important que celles-ci dispensent une formation sur l’ingénierie sociale et adoptent une approche de sécurité unifiée mettant en place des couches de défense pouvant être administrées efficacement par des fournisseurs de services managés ».

Parmi les principales conclusions, le dernier rapport sur la sécurité Internet basé sur des données du troisième trimestre 2023 révèle les éléments suivants :

• Les acteurs malveillants utilisent de plus en plus d’outils et de logiciels de gestion à distance pour contourner la détection des malwares, ce que le FBI et la CISA ont tous deux reconnu. En étudiant les principaux domaines du phishing, le Threat Lab a par exemple observé une escroquerie à l’assistance technique qui conduisait la victime à télécharger une version préconfigurée et non autorisée de TeamViewer, ce qui permettait au pirate d’accéder à distance à l’intégralité de son ordinateur.

• Une variante du ransomware Medusa fait son apparition au troisième trimestre, entraînant une augmentation de 89 % du nombre d’attaques de ransomwares sur les endpoints. De prime abord, les détections de ransomwares sur les endpoints semblent avoir diminué au cours du troisième trimestre. Pourtant, la variante du ransomware Medusa, qui figure pour la première fois dans le Top 10 des menaces liées aux malwares, a été détectée à l’aide d’une signature générique provenant du moteur de signatures automatisé du Threat Lab. Si l’on tient compte des détections de Medusa, les attaques par ransomware ont augmenté de 89 % d’un trimestre par rapport à l’autre.

• Les acteurs malveillants cessent d’utiliser des attaques basées sur des scripts et recourent de plus en plus à d’autres techniques de type « living off the land ». Le vecteur d’attaque que constituent les scripts malveillants a connu une baisse de 11 % au troisième trimestre, après avoir chuté de 41 % au deuxième trimestre. Cependant, les attaques basées sur des scripts restent le vecteur d’attaque le plus important, représentant 56 % du total des attaques. Par ailleurs, les langages de script tels que PowerShell sont souvent utilisés dans les attaques de type « living off the land ». Les binaires Windows « living off the land » ont, quant à eux, augmenté de 32 %. Selon les chercheurs de Threat Lab, ces résultats indiquent que les acteurs malveillants continuent d’utiliser de multiples techniques « living off the land », probablement pour faire face au renforcement des protections autour de PowerShell et d’autres scripts. Les attaques de type « living off the land » sont les plus fréquentes en ce qui concerne les endpoints.

• Le pourcentage de malwares transmis par le biais de connexions chiffrées est tombé à 48 %, ce qui signifie qu’un peu moins de la moitié de tous les malwares détectés provenaient d’un trafic chiffré. Ce résultat mérite d’être souligné, car il est en net recul par rapport aux trimestres précédents. Dans l’ensemble, le nombre total de détections de malwares a augmenté de 14 %.

• Une famille d’injecteurs transmis par email et délivrant des fichiers malveillants occupe quatre des cinq premières places dans le classement des détections de malwares chiffrés au cours du troisième trimestre. Toutes les variantes du Top 5, sauf une, contenaient la famille d’injecteurs appelée Stacked, qui se déguise en pièce jointe lors d’une tentative de phishing par courrier électronique. Les acteurs malveillants envoient des courriers électroniques contenant des pièces jointes malveillantes qui semblent provenir d’un expéditeur familier et prétendent joindre une facture ou un document important à consulter, leur but étant d’inciter les utilisateurs finaux à télécharger des malwares. Deux des variantes de Stacked (Stacked.1.12 et Stacked.1.7) figurent également dans le Top 10 des détections de malwares.

• Les malwares standardisés font leur apparition. Parmi les principales menaces liées aux malwares, une nouvelle famille, Lazy.360502, figure dans le Top 10. Elle diffuse la variante de logiciel publicitaire 2345explorer ainsi que le voleur de mot de passe Vidar. Ce malware était connecté à un site web chinois qui fournissait un voleur d’informations d’identification et semblait fonctionner comme un « voleur de mots de passe à la demande ». Les acteurs malveillants pouvaient acheter des informations d’identification volées, ce qui illustre la façon dont les malwares standardisés sont utilisés.

• Les attaques de réseaux sont en hausse de 16 % au troisième trimestre. Elles ont principalement visé la vulnérabilité ProxyLogon, soit 10 % de l’ensemble des détections de réseau.

• Trois nouvelles signatures figurent dans le Top 50 des attaques de réseaux. Parmi elles, une vulnérabilité de la passerelle Common Gateway Interface PHP Apache datant de 2012 qui entraînerait un débordement de la mémoire tampon. Nous retrouvons également une vulnérabilité de Microsoft .NET Framework 2.0 datant de 2016, qui pouvait entraîner une attaque par déni de service. Nous pouvons encore citer une vulnérabilité d’injection SQL du système de gestion de contenu open-source Drupal, datant de 2014. Cette vulnérabilité permet à des attaquants d’exploiter Drupal à distance sans avoir besoin de s’authentifier.

Conformément à l’approche de la Unified Security Platform® de WatchGuard et aux précédentes mises à jour de recherche trimestrielles du WatchGuard Threat Lab, les données analysées dans ce rapport trimestriel sont basées sur des renseignements anonymes et agrégés sur les menaces. Ces données sont collectées à partir des produits WatchGuard actifs pour le réseau et les endpoints, avec le consentement des propriétaires qui choisissent de partager leurs données pour soutenir directement les efforts de recherche de WatchGuard.