Les cybercriminels affinent leurs stratégies d’attaques et ciblent les utilisateurs et les ressources légitimes déjà installées

Le rapport de sécurité de Fortinet indique que près de 60% des menaces utilisent des domaines mutualisés et que la majorité des botnets tire parti d’infrastructures déjà existantes

Paris, France - May 28, 2019


Phil Quade, Chief Information Security Officer, Fortinet

“Malheureusement, nous continuons à observer que les cybercriminels reprennent à leur compte les stratégies et méthodologies utilisées par les états-nations, tandis que les dispositifs et réseaux ciblés évoluent. Les entreprises sont invitées à repenser leur stratégie pour piloter et maîtriser leurs risques de manière pérenne. Il s’agit, avant toute chose, de voir la cybersécurité en tant que science qui tire parti des avantages de rapidité et de connectivité propres au cyberespace pour déployer une ligne de défense efficace. En optant pour une approche de type Security Fabric, en déployant une segmentation micro et macro, et en faisant du machine learning et de l’automatisation des éléments essentiels des techniques d’intelligence artificielle, il devient possible de lutter efficacement contre les adversaires.”

L’essentiel :

Fortinet® (NASDAQ: FTNT), l’un des leaders mondiaux des solutions de cybersécurité automatisées, intégrales et intégrées, annonce la publication de son tout dernier rapport trimestriel de sécurité Global Threat Landscape Report. Cette étude révèle que les cybercriminels continuent à faire évoluer leurs attaques en les rendant plus sophistiquées. Ils tirent ainsi davantage parti de ransomware personnalisés, de développements logiciels spécifiques à certaines attaques, de techniques LoTL (living-off-the-land, à savoir l’utilisation de ressources existantes et légitimes pour mener des attaques) ou encore d’infrastructures mutualisées. Pour le résultat détaillé des indicateurs d’activité des exploits, des botnets et des malwares, et pour une synthèse décisionnelle à l’intention des DSI et RSSI, rendez-vous sur le blog. Voici néanmoins les temps forts de ce nouvel opus :

Trafic avant et après l’exploit (un élément de programme permettant à un individu ou à un logiciel malveillant d'exploiter une faille)

Une étude a été menée pour voir si les cybercriminels mènent certaines phases de leur attaque sur des jours spécifiques de la semaine. Nous avons ainsi comparé le volume de trafic web analysé lors de deux étapes de la chaîne de frappe (kill chain), pour les jours de la semaine d’une part et pour les week-ends d’autre part. Il en résulte que les activités en amont de l’exploit ont trois fois plus de chances d’avoir lieu pendant les jours travaillés que pendant le week-end. En revanche, on ne note pas une telle différence pour le trafic en aval de l’exploit. L’explication la plus plausible semble être que l’exécution d’un exploit nécessite qu’un utilisateur réalise une action spécifique, comme ouvrir un email de phishing et cliquer sur un lien malveillant. Les activités de command-and-control (C&C) n’ont pas cette exigence et peuvent donc s’effectuer à tout moment. Les cybercriminels l’ont parfaitement saisi et tentent de tirer parti d’opportunités pendant la semaine, lorsque l’activité Internet est la plus importante. Cette différence entre jours de la semaine et week-end doit être prise en compte pour bien comprendre la chaîne de frappe des différentes attaques.

Les menaces, dans leur majorité, tirent parti d’infrastructures mutualisées

L’étude de la mutualisation des infrastructures entre les menaces dévoile des tendances intéressantes. Certaines menaces préfèrent les infrastructures communautaires à des infrastructures uniques ou dédiées. Près de 60% des menaces partagent a minima un domaine, ce qui laisse penser que la majorité des botnets (réseau de programmes connectés à Internet qui communiquent avec d'autres programmes similaires pour l'exécution de certaines tâches) s’adosse à des infrastructures déjà établies. IcedID est un exemple concret de ces menaces qui préfèrent “emprunter” une infrastructure déjà existante. De plus, les menaces qui mutualisent les infrastructures le font sur une même étape de la chaîne de frappe.  Il est rare qu’une menace tire parti d’un même domaine aussi bien pour la phase amont de l’infection que pour le pilotage du trafic C&C en aval de l’exploit. Ceci laisse penser que l’infrastructure joue un rôle ou une fonction bien définie lors des campagnes malveillantes. En identifiant les menaces qui mutualisent leurs infrastructures, et l’étape concernée dans la chaîne d’infection, les entreprises peuvent anticiper certaines évolutions des malware et des botnets.

Une gestion des contenus sous surveillance constante

Les adversaires ont tendance à passer d’une opportunité à une autre au sein des clusters, en exploitant les vulnérabilités et les technologies émergentes, afin d’optimiser les opportunités. Les plateformes Web, celles qui permettent tant au grand public qu’aux professionnels de bâtir leur présence web, attirent l’attention des cybercriminels. Elles sont ainsi ciblées, au même titre que les plug-ins tiers qui leur sont associés. Cette tendance impose l’idée que les patchs doivent être appliqués au plus vite et qu’il est nécessaire de bien comprendre l’évolution des exploits afin de garder une longueur d’avance sur les menaces.

Le ransomware toujours bien présent

De manière générale, les ransomware, particulièrement actifs dans le passé, ont quelque peu laissé la place aux attaques ciblées. Mais la menace reste présente. La multiplicité des attaques témoigne de leur personnalisation pour s’en prendre à des cibles de valeur et donner aux assaillants un accès privilégié au réseau. LockerGoga illustre ce qu’est un ransomware ciblé et véhiculé par une attaque en plusieurs étapes. LockerGoga ressemble beaucoup aux autres ransomware sophistiqués en termes de fonctionnalités. Mais si la majorité des ransomware utilisent des techniques de furtivité pour éviter de se faire détecter, ce n’est pas vraiment le cas de ce malware. Ceci souligne la nature très ciblée de l’attaque qui présuppose que ce malware ne sera pas détecté facilement. De son côté, le ransomware Anatova, dont le but principal est de chiffrer autant de fichiers que possible sur les systèmes infectés, évite néanmoins toute ressource dont le chiffrement est susceptible de rendre ces systèmes instables. Il évite également de chiffrer les systèmes qui pourraient être utilisés à des fins d’analyse antivirale ou de honeypot. Ces deux variantes de ransomware illustrent à quel point les professionnels de  la sécurité doivent donner la priorité au patching et aux sauvegardes pour se prémunir de l’impact des ransomware classiques. Cependant, les menaces ciblées nécessitent des défenses elles aussi ciblées pour se protéger contre les méthodes d’attaques spécifiques.

Living off the Land

Les cybercriminels utilisent les mêmes modèles économiques que ceux de leurs victimes et leurs méthodes d’attaque se développent pour gagner en efficacité, même en aval de l’intrusion. Dans cette optique, les cybercriminels tirent parti d’outils et ressources pré-installés sur les systèmes ciblés, mais pouvant être utilisés à des fins d’attaque. Cette tactique dite “living off the land” (LoTL) permet aux assaillants de dissimuler leurs activités au sein de processus légitimes. Ces outils et ressources rendent également plus  complexes l’identification des auteurs d’attaques. Les cybercriminels ont à disposition un large panel d’outils légitimes qu’ils détourneront pour atteindre leurs objectifs et rester anonymes. Pour lutter contre les menaces, les entreprises doivent gérer de manière optimale l’accès aux outils d’administration et l’utilisation des logs au sein de leurs environnements.

Une veille en temps réel et proactive sur les menaces s’impose

Toute entreprise doit se protéger efficacement contre les tendances actuelles en matière de menaces, mais aussi se préparer à l’évolution et à l’automatisation des attaques. Cet objectif implique une veille en temps réel, dynamique, proactive et disponible sur l’ensemble du réseau multisite. Cette connaissance permet d’identifier les tendances en matière de méthodes d’attaque ciblant la surface digitale et d’identifier les priorités en termes de cybersécurité selon les cibles des cybercriminels. Cette veille doit être mise à disposition en temps réel pour chaque dispositif de sécurité afin d’assurer une prise de décision éclairée. Seule une Security Fabric pervasive, intégrée et automatisée peut déployer une protection sur l’ensemble de l’environnement réseau, de l’IoT jusqu’à la périphérie et jusqu’au cloud, du cœur de réseau aux environnements multi-cloud, en optimisant la rapidité et l’évolutivité.

À propos du rapport de sécurité et des indicateurs

Le Threat Landscape Report de Fortinet, rapport trimestriel issu des travaux collectifs de veille des FortiGuard Labs, capitalise sur un large panel mondial de capteurs déployés par Fortinet sur le premier trimestre 2019. Ce rapport présente des perspectives tant à l’échelle mondiale qu’au dans de régions. L’indice Fortinet Threat Landscape Index (TLI), constitué d’indicateurs associés à 3 domaines essentiels et complémentaires de l’univers des menaces : les exploits, les malwares et les botnets. Ces indicateurs révèlent le niveau de prévalence et le volume de chacune de ces menaces sur un trimestre donné.

Ressources complémentaires

  • Rendez-vous sur notre blog pour davantage d’informations sur cette étude et accéder à la totalité du rapport.
  • Découvrez les indicateurs du Fortinet Threat Landscape pour les botnets, les malwares et les exploits sur le premier trimestre 2018.
  • Pour mieux comprendre les menaces et événements pris en compte par le Fortinet Threat Landscape Index chaque semaine, consultez nos briefs hebdomadaires sur les menaces
  • Découvrez les FortiGuard Labs et l’offre de services de sécurité FortiGuard
  • Découvrez le service Security Rating de FortiGuard, qui propose des audits de sécurité et les meilleures pratiques en la matière.
  • Découvrez comment la Security Fabric de Fortinet déploie une protection intégrale, intégrée et automatise sur l’ensemble de la surface d’attaque d’une entreprise, de l’IoT à la périphérie, du cœur de réseau aux environnements multi-cloud.
  • Découvrez nos programmes Network Security Expert , Network Security Academy program, et FortiVets.
  • Follow Fortinet on TwitterLinkedInFacebookYouTube, and Instagram

About Fortinet

Fortinet (NASDAQ: FTNT) assure la sécurité des entreprises, fournisseurs de services et administrations parmi les plus grandes au monde. Fortinet apporte à ses clients une protection intelligente et transparente, véritable ligne de défense d’une surface d’attaque qui s’étend. Cette sécurité affiche des performances pérennes, adaptées aux réseaux décloisonnés actuels et à venir. Seule l’architecture Security Fabric de Fortinet est capable de déployer une sécurité sans compromis pour relever les défis de sécurité les plus critiques au sein des environnements réseaux, applicatifs, cloud ou mobiles. Fortinet est le leader parmi de nombreuses appliances de sécurité commercialisées dans le monde. Plus de 400 000 clients mondiaux font aujourd’hui confiance à Fortinet pour les protéger. Pour en savoir davantage : http://www.fortinet.com, le blog Fortinet ou FortiGuard Labs    

Copyright © 2019 Fortinet, Inc. All rights reserved. The symbols ® and ™ denote respectively federally registered trademarks and common law trademarks of Fortinet, Inc., its subsidiaries and affiliates. Fortinet's trademarks include, but are not limited to, the following: Fortinet, FortiGate, FortiGuard, FortiCare, FortiManager, FortiAnalyzer, FortiOS, FortiADC, FortiAP, FortiAppMonitor, FortiASIC, FortiAuthenticator, FortiBridge, FortiCache, FortiCamera, FortiCASB, FortiClient, FortiCloud, FortiConnect, FortiController, FortiConverter, FortiDB, FortiDDoS, FortiExplorer, FortiExtender, FortiFone, FortiCarrier, FortiHypervisor, FortiIsolator, FortiMail, FortiMonitor, FortiNAC, FortiPlanner, FortiPortal, FortiPresence , FortiProxy, FortiRecorder, FortiSandbox, FortiSIEM, FortiSwitch, FortiTester, FortiToken, FortiVoice, FortiWAN, FortiWeb, FortiWiFi, FortiWLC, FortiWLCOS and FortiWLM.

Other trademarks belong to their respective owners. Fortinet has not independently verified statements or certifications herein attributed to third parties and Fortinet does not independently endorse such statements. Notwithstanding anything to the contrary herein, nothing herein constitutes a warranty, guarantee, contract, binding specification or other binding commitment by Fortinet or any indication of intent related to a binding commitment, and performance and other specification information herein may be unique to certain environments. This news release may contain forward-looking statements that involve uncertainties and assumptions, such as statements regarding technology releases among others. Changes of circumstances, product release delays, or other risks as stated in our filings with the Securities and Exchange Commission, located at www.sec.gov, may cause results to differ materially from those expressed or implied in this press release. If the uncertainties materialize or the assumptions prove incorrect, results may differ materially from those expressed or implied by such forward-looking statements and assumptions. All statements other than statements of historical fact are statements that could be deemed forward-looking statements. Fortinet assumes no obligation to update any forward-looking statements, and expressly disclaims any obligation to update these forward-looking statements.