Les attaques de ransomware sur les terminaux augmentent de 89 pour cent
Le rapport sur la sécurité Internet de WatchGuard Technologies pour le troisième trimestre de l'année 2023 est en ligne. Les chercheurs du WatchGuard Threat Lab y indiquent à nouveau les principales tendances en matière de logiciels malveillants et de menaces pour la sécurité du réseau et des points finaux. L'un des principaux résultats est avant tout le quasi-doublement - par rapport au trimestre précédent - du nombre d'attaques de ransomware sur les terminaux.
La diminution des logiciels malveillants transmis via des connexions cryptées est également frappante. En outre, les données montrent que l'utilisation abusive des logiciels d'accès à distance connaît un regain de popularité et que les cyber-attaquants font de plus en plus confiance aux voleurs de mots de passe ou d'informations pour obtenir des données de connexion précieuses. Enfin, le rapport souligne que les attaques de points de terminaison sont moins souvent basées sur l'utilisation abusive de scripts et que d'autres techniques de livraison hors du pays sont de plus en plus utilisées.
Parmi les principales conclusions du dernier rapport sur la sécurité d'Internet, qui contient des données du troisième trimestre 2023, on trouve
Les outils et logiciels de gestion à distance ont la faveur des pirates informatiques - Comme le confirment le FBI (Federal Bureau of Investigation) et la CISA (Cybersecurity and Infrastructure Security Agency), les cybercriminels utilisent de plus en plus souvent des logiciels d'accès à distance pour éviter d'être détectés par les analyses antimalware. En examinant les principaux domaines de phishing, le Threat Lab a par exemple identifié une tentative de tromperie dans l'environnement de l'assistance technique, conçue pour que la victime télécharge une version préconfigurée et non autorisée de TeamViewer, qui permet à l'attaquant d'avoir un accès complet à l'ordinateur à distance.
La propagation de la variante du ransomware Medusa entraîne une hausse de 89 % des attaques de ransomware ciblant les terminaux - À première vue, il semblait d'abord que les ransomwares étaient en recul de juillet à septembre 2023. Cette image a toutefois changé avec la variante de ransomware Medusa, qui est apparue pour la première fois dans le top 10 des menaces de logiciels malveillants et a été identifiée par le Threat Lab via une signature générique. Le nombre d'attaques de ransomware a ainsi augmenté de 89 % par rapport au trimestre précédent.
Les acteurs de la menace se détournent des attaques basées sur des scripts et utilisent de plus en plus d'autres techniques de livraison hors du pays - Les scripts malveillants en tant que vecteur d'attaque ont enregistré une baisse de 11 % au troisième trimestre, alors que les scénarios correspondants avaient déjà diminué de 41 % au deuxième trimestre. Cependant, les attaques basées sur des scripts continuent de se tailler la part du lion avec 56 % de tous les incidents enregistrés. Les langages de script tels que PowerShell continuent d'être fréquemment utilisés pour des attaques "living-off-the-land". Parallèlement, le nombre de fichiers binaires Windows utilisés à mauvais escient a augmenté de 32 %. Ces résultats montrent aux chercheurs de Threat Lab que les acteurs de la menace continuent à utiliser différentes techniques de "living-off-the-land", probablement en réaction aux mesures de protection renforcées contre PowerShell et d'autres langages de script.
Les logiciels malveillants qui arrivent à destination via des connexions chiffrées diminuent de moitié - A peine la moitié des logiciels malveillants identifiés au troisième trimestre ont été transmis via des connexions cryptées. Ce chiffre est remarquable, car il a nettement baissé par rapport aux trimestres précédents. Au total, le nombre de programmes malveillants détectés a augmenté de 14 %.
La famille de droppers basée sur l'e-mail domine le top 5 des variantes de logiciels malveillants transmis de manière cryptée - Quatre des cinq variantes de logiciels malveillants figurant dans ce top 5 peuvent être attribuées à une famille de droppers appelée Stacked. Dans le cadre du spear phishing, les acteurs de la menace envoient des e-mails avec des pièces jointes malveillantes qui semblent provenir d'un expéditeur connu et prétendent contenir une facture ou un document important à vérifier, afin d'inciter les utilisateurs finaux à télécharger des logiciels malveillants.
Les logiciels malveillants Stealer ont le vent en poupe - En ce qui concerne les principales menaces de logiciels malveillants, une nouvelle famille de logiciels malveillants a fait son entrée dans le classement : Lazy.360502, qui fournit la variante de logiciel publicitaire 2345explorer ainsi que le Vidar Password Stealer et qui est lié à un site Web chinois qui semble prendre en charge une offre de "Password Stealer as a Service". De cette manière, les cybercriminels peuvent facilement acheter des données de connexion volées.
Les attaques réseau ont enregistré une hausse de 16 % - ProxyLogon a été le point faible le plus souvent visé par les attaques réseau. Elle est à l'origine de 10 % des détections spécifiques au réseau.
Trois nouvelles signatures font leur entrée dans le top 50 des attaques réseau - Il s'agit notamment d'une vulnérabilité PHP Common Gateway Interface Apache datant de 2012, qui permet de déclencher un dépassement de mémoire tampon. À cela s'ajoute une vulnérabilité Microsoft .NET Framework 2.0 datant de 2016, qui sert de tremplin à des attaques par déni de service. Le trio est complété par une vulnérabilité d'injection SQL dans le CMS open source Drupal datant de 2014, qui permet aux attaquants d'accéder à Drupal depuis l'extérieur sans aucune barrière d'authentification.
Source : www.watchguard.com
