Get best of the week

52 milliards d'attaques: menaces de Trend Micro 2019

image
Trend Micro 52 , — BEC-. 2019 Annual Security Roundup: The Sprawling Reach of Complex Threats, . — , .

La principale conclusion de l'étude est que les cybercriminels motivés par leur travail collaborent et se concurrencent quotidiennement pour tirer le meilleur parti de leurs victimes. Le nombre de menaces augmente avec leur diversité, car les investissements dans les plates-formes cloud, ainsi que le mouvement des infrastructures de l'entreprise dans les nuages, ont considérablement élargi la surface attaquée des entreprises modernes. Parmi les principaux outils de cybercriminalité que nous avons enregistrés en 2019, on peut noter les suivants:

  • ransomware;
  • phishing et BEC;
  • exploitation de vulnérabilités critiques;
  • attaques de la chaîne d'approvisionnement;
  • menaces mobiles.

Extorsionnistes


En 2019, les ransomwares ont conservé une position de leader parmi les autres cybermenaces. Le nombre d'incidents détectés avec ce type de malware a augmenté de 10% par rapport à 2018. Les principaux objectifs des campagnes d'extorsion sont:

  • les soins de santé, dans lesquels plus de 700 organisations ont été touchées par des attaques;
  • organisations gouvernementales - aux États-Unis seulement, au moins 110 institutions d'État et municipales ont été victimes de ransomwares;
  • les établissements d'enseignement.

La Russie continue de dominer le nombre de virus rançongiciels détectés en Europe de l'Est, représentant 4,15% du nombre total de chiffreurs dans le monde.
Il est à noter que malgré l'augmentation du nombre d'attaques, les nouveaux types de ransomwares ont été enregistrés 57% moins souvent. Très probablement, la raison en est que les développeurs de campagnes malveillantes se sont concentrés sur l'identification des cibles les plus abordables qui sont plus susceptibles de payer une rançon, plutôt que de créer de nouveaux outils.

La volonté d'augmenter l'efficacité des virus rançongiciels a conduit à la création de collaborations cybercriminalité. Par exemple, le ransomware Sodinokibi a été utilisé pour mener des attaques coordonnées contre 22 unités de l'État du Texas. Le produit des assaillants s'est élevé à 2,5 millions de dollars.

Dans cette série d'attaques, une nouvelle méthode de revenus cybercriminels a été utilisée - Access-as-a-Service, dans laquelle certains attaquants ont vendu ou loué l'accès à l'infrastructure réseau des entreprises à d'autres. Dans le cadre du service, au prix de 3 à 20 mille dollars américains, divers services ont été proposés, jusqu'à un accès complet aux serveurs et aux VPN d'entreprise.

Phishing et BEC


Le nombre d'attaques de phishing enregistrées en 2019 a diminué par rapport à 2018, tant dans les tentatives enregistrées d'accès aux URL de phishing que dans le nombre de systèmes clients qui ont été victimes d'attaques frauduleuses.

image
Incidents de phishing signalés en 2018-2019 Source: Trend Micro

Malgré la réduction globale du nombre d'attaques, les campagnes ciblées pour les utilisateurs du service Office 365 affichent une double augmentation. Leur nombre a augmenté de 101%.

Les méthodes de phishing les plus populaires de 2019 sont les suivantes:

  • compromettre l'extension Web SingleFile pour créer des copies frauduleuses de pages d'authentification légitimes sur divers services;
  • vol unique de mot de passe (OTP) à l'aide d'une fausse page bancaire;
  • Interception des résultats de recherche Web sur Google pour rediriger les victimes vers une page de phishing;
  • utilisation de 404 pages non trouvées pour de faux formulaires de connexion.

En 2019, les cybercriminels ont concentré leurs efforts sur les domaines les plus rentables, ce qui confirme la croissance du nombre d'attaques de phishing avec correspondance commerciale compromise (BEC).

En termes de nombre de menaces WEB identifiées, la Russie occupe la quatrième place mondiale avec 3,9% des indicateurs mondiaux. Aux premiers postes figurent les États-Unis, la Chine et le Brésil. L'Ukraine représente 1,3%, le Kazakhstan - moins de 0,5%.

image
Répartition des postes attaqués dans les attaques BEC. Source: Trend Micro

Les cibles les plus populaires dans les attaques BEC sont les cadres financiers, les départements comptables et les professeurs.

Exploiter les vulnérabilités critiques


Les vulnérabilités des systèmes d'exploitation et des services ont été et restent une source sérieuse de problèmes. En 2019, la Trend Micro Zero Day Initiative (ZDI) a identifié un nombre important de vulnérabilités différentes. Et bien qu'il y ait eu moins de problèmes identifiés en général, le nombre de vulnérabilités graves a augmenté de 171% par rapport à 2018.

image
Nombre de vulnérabilités de divers niveaux identifiées par l'initiative Trend Micro Zero Day. Source: Trend Micro.

Le niveau de leur danger reflète également la probabilité que ces vulnérabilités soient activement utilisées par les cybercriminels comme vecteurs d'attaque.

En parlant de vulnérabilités, on ne peut ignorer les vulnérabilités de l'Internet des objets, qui continuent d'être activement exploitées par les cybercriminels pour créer des botnets. Selon nos données, le nombre de tentatives de mot de passe sur les appareils IoT au cours de l'année a augmenté de 180%.

Attaques de la chaîne d'approvisionnement


Au lieu de pirater des banques bien protégées, les pirates préfèrent obtenir des données de carte bancaire à partir d'endroits plus accessibles - par exemple, en attaquant les fournisseurs de services pour les marchés en ligne, les magasins en ligne et d'autres services avec paiement en ligne.

À l'aide d'attaques contre les fournisseurs, les groupes Magecart et FIN6 ont pu injecter du code malveillant pour voler des informations de paiement sur de nombreux sites. Magecart possède 227 sites piratés et le groupe FIN6 a réussi à compromettre plus de 3 000 sites en ligne.

Un autre domaine d'attaque populaire était le compromis des outils de développement et des bibliothèques populaires.

En juin , une erreur a été détectée lors de la configuration de l'API Docker Engine - Communauté, qui a permis aux attaquants de compromettre les conteneurs et de lancer AESDDoS, un type de malware Linux qui vous permet de prendre le contrôle d'un serveur et de l'intégrer à un botnet.

Le même mois, la vulnérabilité CVE-2019-11246 de l'interface de ligne de commande Kubernetes a été révélée , dont l'utilisation a permis à un attaquant d'utiliser un conteneur malveillant pour créer ou remplacer des fichiers sur un hôte affecté.

Menaces mobiles


Selon l'étude, la Russie est dans le top 15 des pays par le nombre de types détectés d'applications mobiles malveillantes, 1,1% du nombre mondial de logiciels malveillants mobiles est détecté ici.

Au total, en 2019, Trend Micro a enregistré près de 60 millions de logiciels malveillants mobiles et, au deuxième semestre, leur nombre a presque été divisé par deux.

L'une des plus grandes menaces mobiles détectées en 2019 était liée à plusieurs applications Android malveillantes téléchargées 1 million de fois. Ces applications se sont déguisées en une variété de filtres pour la caméra du smartphone et, après l'installation, connectées à des serveurs de gestion malveillants. Lors de l'analyse des échantillons, il s'est avéré que la nature malveillante des applications est assez difficile à détecter. Par exemple, l'un de ces programmes lors de l'installation s'est retiré de la liste des applications. En conséquence, sa désinstallation est devenue presque impossible, car les utilisateurs ne pouvaient même pas détecter la présence du programme, sans parler de la suppression.

Recommandations


La protection contre les attaques dans les conditions modernes nécessite l'utilisation de solutions intégrées combinant la protection des passerelles, des réseaux, des serveurs et des terminaux. Vous pouvez augmenter le niveau de sécurité informatique de l'entreprise en utilisant de telles méthodes de lutte contre les menaces, telles que:

  • segmentation de l'infrastructure réseau, sauvegardes régulières et surveillance continue des conditions du réseau;
  • installation régulière de mises à jour du système d'exploitation et des logiciels d'application pour se protéger contre l'exploitation des vulnérabilités connues;
  • Utilisation de correctifs virtuels, en particulier pour les systèmes d'exploitation qui ne sont plus pris en charge par les développeurs;
  • mise en œuvre de stratégies d'authentification et d'accès multifactorielles pour les outils avec prise en charge de comptes d'administrateur distincts, par exemple, pour l'accès à distance aux ordinateurs de bureau, PowerShell et aux outils de développement.

More articles:


All Articles