Le rapport de sécurité de Fortinet souligne une évolution de l’activité des malwares ciblant les crypto-monnaies

La prévalence des malwares de crypto-minage a bondi de 28% et affecte plus d’une entreprise sur quatre

Paris, France - May 25, 2018
-

« Nous constatons une convergence quelque peu préoccupante de tendances au sein de l’univers des cybermenaces. Les cybercriminels, plus efficaces et agiles, exploitent une surface d’attaque en expansion, tirent parti des menaces zero-day les plus récentes et optimisent la nocuité de leurs malwares. De plus, les équipes informatiques et OT ne disposent que rarement des ressources nécessaires pour protéger leurs systèmes. Fort heureusement, la mise en œuvre d’une Security Fabric qui met l’accent sur les performances, l’intégration, un traitement analytique évolué et une gestion des risques décisionnelle, est le catalyseur d’une protection intégrale, performante et évolutive. » Phil Quade, chief information security officer, Fortinet

L’essentiel :
Fortinet® (NASDAQ: FTNT), leader mondial des solutions de cybersécurité automatisées, intégrales et intégrées, annonce les résultats de son tout dernier rapport trimestriel de sécurité Global Threat Landscape Report. L’étude révèle que les cybercriminels font évoluer leurs méthodes d’attaque pour augmenter leurs chances de succès et accélérer les infections. Si les ransomwares continuent à peser lourdement sur les entreprises, il semble que certains cybercriminels préfèrent désormais détourner des systèmes pour les utiliser à des fins de minage de crypto-monnaies (cryptomining) plutôt que de rançonnage. Pour les résultats détaillés de cette étude et une synthèse décisionnelle à l’intention des DSI et RSSI, rendez-vous sur le blog. Voici les principaux enseignements de ce nouveau rapport :

Les méthodes d’attaque des cybercriminels sont plus performantes et évolutives

Les données soulignent que les cybercriminels améliorent leur utilisation de malwares et tirent parti des vulnérabilités zero-day les plus récentes pour rendre leurs attaques plus rapides et évolutives. Si le nombre d’exploits détectés par entreprise est en repli de 13% au premier trimestre 2018, le nombre d’exploit unique détecté a, en revanche, progressé de 11%. 73% des entreprises ont subi un exploit de criticité sévère.

  • Le cryptojacking a le vent en poupe : les malwares évoluent et deviennent plus complexes à prévenir ou détecter. La prévalence des malwares de minage de crypto- monnaies a plus que doublé, passant de 13% à 28%. De plus, ce cryptojacking (détournement de ressources de systèmes à des fins de minage) est devenu une tendance de fond au Moyen-Orient, en Amérique Latine et en Afrique. Les malwares de crypto-minage font preuve d’une très grande diversité alors que cette menace est, somme toute, relativement jeune. Les cybercriminels conçoivent des malwares sans fichiers capables d’injecter furtivement du code malveillant au sein des navigateurs. Les outils de minage ciblent de multiples systèmes d’exploitation et utilisent différentes crypto-devises, Bitcoin et Monero notamment. Ils reprennent à leur compte des techniques sophistiquées de propagation et de distribution utilisées par d’autres menaces et tirent les leçons de leurs réussites et échecs pour optimiser leur futur taux de succès.
  • Des attaques ciblées pour un impact maximal : l’impact des malwares virulents est particulièrement élevé, d’autant que ces derniers sont associés à des attaques bien conçues. Pour mieux cibler leurs attaques, les cybercriminels initient leurs exactions par des opérations de reconnaissance d’une entreprise en amont de l’attaque, ce qui optimise le taux de succès. Dans un second temps, une fois présents sur le réseau, les assaillants l’explorent pour décider de quand, comment et où exécuter l’attaque planifiée. Le malware Olympic Destroyer et, plus récemment, le ransomware SamSam illustrent comment les cybercriminels conçoivent leurs attaques dans une optique d’impact majeur et de rentabilité maximale.
  • Le ransomware toujours d’actualité : les ransomwares, plus nombreux et sophistiqués, restent un défi majeur de sécurité pour les entreprises. Ces ransomwares continuent à évoluer, en misant sur l’ingénierie sociale et de nouvelles techniques (attaques menées en plusieurs étapes notamment), dans l’optique de contourner les outils de détection en place et d’infecter les systèmes. Le ransomware GandCrab apparu en janvier fait figure de pionnier puisqu’il utilise Dash en tant que crypto-monnaie pour le paiement des rançons. BlackRuby et SamSam sont également deux variantes de ransomwares particulièrement actives sur le premier trimestre 2018.
  • De multiples vecteurs d’attaque : si les attaques telles que Meltdown et Spectre ont été largement relatées dans les médias durant ce trimestre, les attaques les plus virulentes ont ciblé les équipements mobiles ou des vulnérabilités connues de routeurs ou de technologies Web/Internet. 21% des entreprises ont indiqué avoir été victimes de malwares mobiles (+7%), illustrant le fait que les objets connectés continuent à être sous le feu des menaces. Les cybercriminels privilégient l’exploitation de vulnérabilités connues et non patchées, ainsi que la découverte récente de vulnérabilités zero-day qui constituent autant de nouvelles opportunités. Microsoft reste la principale cible des exploits, tandis que les routeurs se hissent à la seconde place en termes de volume d’attaques. Les systèmes de gestion de contenus (CMS) et les technologies orientées Web ont également été particulièrement ciblées.
  • Aller au-delà du patching : le patching ne permet pas, à lui seul, de raccourcir la durée de vie et d’activité des botnets. Il s’agit également d’assurer les opérations de nettoyage et de restauration. Les données montrent que 58,5% des infections par botnets sont détectées et neutralisées le même jour. 17,6% et 7,3% des botnets restent actifs deux jours et trois jours de suite respectivement. À noter que 5% de ces botnets restent actifs plus d‘une semaine. À titre d’exemple, Andromeda a été démantelé au quatrième trimestre 2017, mais les données sur le premier trimestre 2018 indiquent une présence importante de ce botnet, tant en incidence qu’en prévalence.
  • Attaques contre les technologies OT : Si les attaques ciblant les environnements OT restent mineures, cette tendance n’en est pas moins préoccupante. En effet, les attaques sur ces environnements industriels, de plus en plus interconnectés et connectés à Internet, peuvent entraîner des conséquences potentiellement désastreuses en matière de sécurité. Actuellement, la majorité des exploits cible deux des protocoles de communication industrielle les plus communs. Les données montrent que c’est en Asie que les tentatives ciblant les systèmes de contrôle industriels sont plus nombreuses par rapport aux autres régions.

Une sécurité intégrée pour lutter contre les exactions
Les données sur les menaces sur ce trimestre sont conformes aux prédictions des chercheurs des FortiGuard Labs pour 2018, témoignant ainsi que la meilleure des défenses contre les menaces intelligentes et automatisées est une Security Fabric intégrée, élargie et automatisée. Une sécurité contextuelle et proactive s’impose pour contrer la nouvelle génération des attaques automatisées qui capitalisent sur l’intelligence artificielle.

Méthodologie de l’étude
Le Fortinet Global Threat Landscape, rapport trimestriel issu des travaux collectifs de veille des FortiGuard Labs, capitalise sur un large panel de capteurs déployés par Fortinet au cours du premier trimestre 2018. L’étude propose des données mondiales, par région et par secteur d’activité, et se penche sur trois volets essentiels et complémentaires de l’univers des menaces, à savoir les exploits applicatifs, les logiciels malveillants et les botnets. Sont également étudiées les vulnérabilités zero-day majeures. En complément de ces études trimestrielles, Fortinet offre également ses publications Threat Intelligence Brief, gratuitement et sur abonnement, qui passent en revue les malwares, virus et menaces web découverts chaque semaine, et propose des liens vers les études et travaux les plus pertinents des chercheurs de Fortinet.

Ressources complémentaires 

À propos de Fortinet ( www.fortinet.com/fr )

Fortinet (NASDAQ: FTNT) assure la sécurité des entreprises, fournisseurs de services et administrations parmi les plus grandes au monde. Fortinet apporte à ses clients une protection intelligente et transparente, véritable ligne de défense d’une surface d’attaque qui s’étend. Cette sécurité affiche des performances pérennes, adaptées à des réseaux décloisonnés. Seule l’architecture Security Fabric de Fortinet est capable de déployer une sécurité sans compromis pour relever les défis de sécurité les plus critiques au sein des environnements réseaux, applicatifs, cloud ou mobiles. Plus de 340 000 clients dans le monde font aujourd’hui confiance à Fortinet pour les protéger. Pour en savoir davantage http://www.fortinet.com, , le blog Fortinet ou FortiGuard Labs.

Copyright © 2018 Fortinet, Inc. All rights reserved. The symbols ® and ™ denote respectively federally registered trademarks and common law trademarks of Fortinet, Inc., its subsidiaries and affiliates. Fortinet's trademarks include, but are not limited to, the following: Fortinet, FortiGate, FortiGuard, FortiCare, FortiManager, FortiAnalyzer, FortiOS, FortiASIC, FortiMail, FortiClient, FortiSIEM, FortiSandbox, FortiWiFi, FortiAP, FortiSwitch, FortiWeb, FortiADC, FortiWAN, and FortiCloud. Other trademarks belong to their respective owners. Fortinet has not independently verified statements or certifications herein attributed to third parties and Fortinet does not independently endorse such statements. Notwithstanding anything to the contrary herein, nothing herein constitutes a warranty, guarantee, contract, binding specification or other binding commitment by Fortinet or any indication of intent related to a binding commitment, and performance and other specification information herein may be unique to certain environments. This news release may contain forward-looking statements that involve uncertainties and assumptions, such as statements regarding technology releases among others. Changes of circumstances, product release delays, or other risks as stated in our filings with the Securities and Exchange Commission, located at www.sec.gov, may cause results to differ materially from those expressed or implied in this press release. If the uncertainties materialize or the assumptions prove incorrect, results may differ materially from those expressed or implied by such forward-looking statements and assumptions. All statements other than statements of historical fact are statements that could be deemed forward-looking statements. Fortinet assumes no obligation to update any forward-looking statements, and expressly disclaims any obligation to update these forward-looking statements.