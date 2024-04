Le rapport du Threat Lab de WatchGuard révèle une montée en puissance des malwares évasifs alimentant une vague de menaces déjà puissante

avril 2024 par WatchGuard Technologies

WatchGuard® Technologies livre les conclusions de son dernier rapport sur la sécurité Internet, détaillant les principales tendances en matière de logiciels malveillants et de cybermenaces ciblant les réseaux et endpoints, analysées par les chercheurs du WatchGuard Threat Lab.

Les principales conclusions du rapport font état d’une augmentation spectaculaire des logiciels malveillants évasifs, qui a entraîné une forte hausse du nombre total de logiciels malveillants et de cyberattaquants qui considèrent les serveurs de messagerie on-premise comme des cibles privilégiées à exploiter. Par ailleurs, le nombre de détections de ransomware continue de diminuer, ce qui pourrait s’expliquer par les efforts déployés par les forces de l’ordre pour démanteler les cyber-gangs spécialisés dans le ransomware à l’échelle internationale.

Corey Nachreiner, Chief Security Officer chez WatchGuard analyse : « Les dernières recherches du Threat Lab révèlent que les cyberattaquants emploient diverses techniques pour identifier les vulnérabilités à cibler, y compris dans les logiciels et systèmes plus anciens. C’est pourquoi les entreprises doivent adopter une approche de défense en profondeur pour se protéger contre de telles menaces. La mise à jour des systèmes et des logiciels sur lesquels les entreprises s’appuient est une étape essentielle pour remédier à ces vulnérabilités. En outre, les plateformes de sécurité modernes administrées par des fournisseurs de services managés peuvent offrir la sécurité complète et unifiée dont les entreprises ont besoin et leur permettre de lutter contre les menaces les plus récentes ».

Parmi les principales conclusions, le dernier rapport sur la sécurité Internet basé sur des données du quatrième trimestre 2023 révèle les éléments suivants :

 Une augmentation du nombre de logiciels malveillants évasifs, basiques et chiffrés, au quatrième trimestre 2023, qui a généré une hausse du nombre total de logiciels malveillants détectés. Le nombre moyen de détections de logiciels malveillants par les WatchGuard Firebox a augmenté de 80 % par rapport au trimestre précédent, ce qui illustre le volume important de menaces de logiciels malveillants parvenant au périmètre du réseau. Sur le plan géographique, la plupart des cas de logiciels malveillants ont touché le continent américain et la région Asie-Pacifique.

 Une augmentation des malwares de type TLS et « Zero-Day » : environ 55 % des logiciels malveillants transitent par le biais de connexions chiffrées, ce qui représente une augmentation de 7 % par rapport au troisième trimestre. Les détections de malwares de type « Zero-Day » ont atteint 60 % de l’ensemble des détections de logiciels malveillants, contre 22 % au trimestre précédent. Toutefois, les détections de malwares de type « Zero-Day » par le biais du protocole TLS ont reculé pour atteindre 61 %, soit une baisse de 10 % par rapport au troisième trimestre, ce qui témoigne de l’imprévisibilité des logiciels malveillants qui circulent.

 Redirection de deux des cinq principales variantes de logiciels malveillants vers le réseau DarkGate. Parmi les cinq détections de logiciels malveillants les plus répandues figurent JS.Agent.USF et Trojan.GenericKD.67408266. Les deux variantes redirigent les utilisateurs vers des liens malveillants et les agents de chargement des deux logiciels malveillants tentent de charger le logiciel malveillant DarkGate sur l’ordinateur de la victime.

 Montée en puissance des techniques de type « living-off-the-land ». Le quatrième trimestre a été marqué par une résurgence des menaces à base de scripts, les scripts étant le vecteur d’attaque le plus répandu. Le nombre de menaces détectées a augmenté de 77 % par rapport au troisième trimestre. Selon le Threat Lab, PowerShell est le principal vecteur d’attaque utilisé par les pirates sur les endpoints. Les attaques par navigateur ont également connu une hausse significative de 56 %.

 Quatre des cinq attaques réseau les plus répandues étaient des attaques de serveurs Exchange. Ces attaques sont plus particulièrement associées à l’une des vulnérabilités ProxyLogon, ProxyShell et ProxyNotShell. La signature ProxyLogon est apparue pour la première fois dans le top 5 des signatures les plus répandues au quatrième trimestre 2022 (4ème place) et s’est hissée à la deuxième place des attaques réseau les plus répandues au quatrième trimestre 2023. Ces attaques soulignent l’importance de réduire la dépendance à l’égard des serveurs de courrier électronique on-premise pour limiter les menaces de sécurité.

 Poursuite de la banalisation des cyberattaques, caractérisée par une tendance à l’offre de « Victim-as-a-Service » (victime en tant que service). Glupteba et GuLoader ont à nouveau été classés parmi les 10 logiciels malveillants les plus répandus au quatrième trimestre, faisant leur retour en tant que deux des variantes les plus prolifiques analysées au cours du trimestre. Glupteba est une menace particulièrement redoutable et sophistiquée, en partie parce qu’elle cible des victimes à l’échelle mondiale. « Malware-as-a-Service » (MaaS, ou logiciel malveillant en tant que service à multiples facettes), Glupteba est capable de télécharger d’autres logiciels malveillants, de se faire passer pour un réseau zombie, de voler des informations sensibles et d’extraire des cryptomonnaies de manière extrêmement furtive.

 Efforts de démantèlement visant à étouffer les groupes d’extorsion de ransomware. Une fois de plus, au quatrième trimestre, le Threat Lab a signalé une baisse des détections de ransomwares par rapport au trimestre précédent. En effet, il a observé une diminution de 20 % du volume global au cours des trois derniers mois de l’année 2023. Les analystes de WatchGuard ont également constaté une baisse des violations publiques de ransomwares et attribuent cette tendance aux efforts continus des forces de l’ordre pour démanteler les groupes d’extorsion de ransomwares.

Conformément à l’approche WatchGuard Unified Security Platform® et aux précédentes publications de recherche trimestrielles du WatchGuard Threat Lab, les données analysées dans ce rapport trimestriel sont basées sur des renseignements anonymes et agrégés sur les menaces provenant des produits WatchGuard actifs pour les réseaux et les endpoints. Les propriétaires de ces produits ont choisi de partager leurs renseignements afin de soutenir directement les efforts de recherche de WatchGuard.