Communiqués de presse

Phil Quade, Chief Information Security Officer, Fortinet

“Les cybercriminels, avec leurs méthodes d’attaque toujours plus diversifiées et sophistiquées, opèrent de manière plus rapide et interconnectée. Les entreprises ciblées doivent procéder de même et donner la priorité aux fondamentaux de la sécurité pour mieux gérer et maîtriser les cyber risques. Une approche de type Security Fabric s’impose pour interconnecter l’ensemble des composantes de l’infrastructure de sécurité. La segmentation, une veille décisionnelle sur les menaces, l’automatisation et le machine learning sont devenus les nouvelles armes d’une cybersécurité qui, elle aussi, doit s’optimiser."

L’essentiel :

Fortinet® (NASDAQ: FTNT), l'un des leader mondiaux de solutions de cybersécurité automatisées, intégrales et intégrées, annonce la publication de son tout dernier rapport trimestriel de sécurité Global Threat Landscape Report.

• Cette étude révèle que les cybercriminels continuent à rechercher de nouvelles opportunités d’attaque sur l’ensemble de la surface d’attaque et qu’ils utilisent des techniques d’évasion et de contournement des analyses antimalware pour mener leurs attaques de manière plus sophistiquées et furtives.
• L'indice Threat Landscape Index a franchi un nouveau cap ce trimestre, en progressant de près de 4% par rapport à sa valeur initiale sur une année, pour atteindre un pic annuel en fin du second trimestre 2019. Cette progression illustre la recrudescence de l’activité des malware et des exploits.
• Pour le résultat détaillé des indicateurs d’activité des exploits, des botnets et des malware, et pour une synthèse décisionnelle à l’intention des DSI et RSSI, rendez-vous sur le blog. Voici néanmoins les temps forts de ce nouveau rapport :

Une progression des techniques d’évasion

De nombreux outils modernes de malware intègrent des fonctionnalités pour contourner les antivirus et autres mesures de détection : les cybercriminels ont affûté leurs armes pour gagner en furtivité, déjouer les analyses antimalware et éviter de se faire détecter.

À titre d’exemple, une campagne de spam illustre comment les assaillants utilisent et affinent ces techniques contre leurs cibles. Lors de cette attaque, un email de phishing est utilisé pour transmettre un fichier Excel avec une macro malveillante, dont l’objectif est de désactiver les outils de sécurité, d’exécuter des commandes de manière arbitraire, de causer des problèmes au niveau de la mémoire et de ne cibler que les systèmes japonais. Une de ses propriétés recherche plus particulièrement une variable xIDate, mais ce mode opératoire semble encore non documenté à ce jour.

Autre exemple, celui du cheval de troie bancaire Dridex qui modifie le nom et les hash des fichiers à chaque connexion de la victime, ce qui rend plus difficile l’identification du malware sur les systèmes hôtes infectés.

L’utilisation croissance de techniques d’évasion et de contournement des analyses antimalware incite à déployer différentes couches de sécurité et à s’orienter vers une détection comportementale des menaces.

Les attaques furtives visent le long terme 

Le malware Zegost de détournement de données, au cœur d’une campagne de spear phishing, présente des techniques pour le moins intrigantes. À l’instar d’autres outils similaires, l’objectif principal de Zegost est de recueillir des informations sur le dispositif de la victime et de les exfiltrer. Cependant, Zegost se distingue par sa furtivité, grâce notamment à une fonction de « nettoyage » des logs applicatifs, qui permet de masquer sa présence. D’autre part, Zegost présente également une commande de mise en attente jusqu’au 14 février 2019, date à laquelle il a initié son processus d’infection.

Les auteurs de Zegost ont su utiliser tout un arsenal d’exploits pour établir et maintenir une connexion avec leurs victimes, ce qui en fait une menace sur le long terme par rapport aux autres malware similaires.

Le ransomware continue à se transmettre via des attaques toujours plus ciblées

Les attaques ciblant de multiples villes, collectivités locales et acteurs de l’enseignement rappellent que le ransomware reste d’actualité et qu’il continue à viser de nombreuses organisations. Les attaques par ransomware se font de moins en moins en masse et de manière opportuniste. Le ciblage est devenu une réalité et la priorité est donnée aux entreprises perçues comme susceptibles de régler une rançon. Dans certains cas, les cybercriminels procèdent à une phase amont approfondie de reconnaissance avant de déployer leur ransomware sur des systèmes identifiés avec précision, ce qui maximise les opportunités d’infection.

À titre d’exemple, le ransomware RobbinHood s’en prend à l’infrastructure réseau des entreprises. Il est capable de désactiver les services Windows qui préviennent le chiffrement des données, mais aussi de déconnecter les disques partagés.

Un autre nouveau ransomware appelé Sodinokibi pourrait bien devenir la prochaine menace majeure pour les entreprises. D’un point de vue fonctionnel, il n’est pas vraiment différent de la majorité des outils de ransomware. Il se distingue néanmoins par son vecteur d’attaque puisqu’il exploite une nouvelle vulnérabilité qui permet l'exécution de code arbitraire et n'a pas besoin d'interaction de la part de l'utilisateur, comme c'est le cas pour d'autres logiciels de ransomware livrés par email phishing.

Quel que soit le vecteur utilisé, le ransomware reste, et restera, une menace sérieuse pour les entreprises : plus que jamais, le patching doit être prioritaire, au même titre que la sensibilisation des collaborateurs aux risques de cybersécurité.

De plus, les vulnérabilités du protocole RDP (Remote Desktop Protocol), comme BlueKeep, sont un avertissement que les services d'accès à distance peuvent être des opportunités pour les cybercriminels et qu'ils peuvent également être utilisés comme vecteur d'attaque pour diffuser des logiciels de rançon.

De nouvelles opportunités sur la surface d’attaque

Entre l'imprimante personnelle et les infrastructures critiques, émergent désormais de nombreux systèmes de contrôle à usage résidentiel et pour les petites entreprises. Ces systèmes intelligents attirent moins l'attention des assaillants que leurs homologues industriels, mais les choses peuvent évoluer compte tenu de l'augmentation observée de l'activité ciblant ces dispositifs de contrôle tels que les capteurs environnementaux, les caméras de sécurité, ou encore les systèmes de sécurité. Une signature liée aux solutions de gestion techniques du bâtiment a été émise par 1% des entreprises. Ce chiffre peut paraître peu élevé, mais il reste néanmoins supérieur à ce qu’on observe parmi les systèmes de contrôle industriel (ICS) et SCADA.

Les cybercriminels sont à la recherche de nouvelles possibilités de détourner les dispositifs de contrôle, tant au sein des espaces résidentiels que des entreprises. Parfois, ces types d'appareils ne sont pas aussi prioritaires que d'autres ou ne sont pas intégrés dans les processus traditionnels de gestion IT. La sécurité des systèmes intelligents résidentiels et pour les petites entreprises mérite une attention particulière, d'autant que la possibilité d’y accéder pourrait lourdement peser sur la sécurité. Ceci est particulièrement vrai pour les environnements de travail distants où la sécurité des accès reste critique.

Comment protéger votre entreprise : une sécurité large, intégrée et automatisée

Une veille sur les menaces dynamique, proactive et en temps-réel permet d’identifier les tendances et les méthodes d’attaque qui ciblent la surface d’attaque, ainsi que les priorités en matière de pratiques de cybersécurité. La prise de décision basée sur une veille sur les menaces est fortement altérée s’il n’est pas possible de capitaliser en temps réel sur cette veille, à l’échelle de chaque dispositif de sécurité. Seule une Security Fabric large, intégrée et automatisée peut déployer une protection sur l’ensemble de l’environnement réseau, de l’IoT jusqu’à la périphérie et jusqu’au cloud, du cœur du réseau aux environnements multi-cloud, en optimisant la rapidité et l’évolutivité.

À propos du rapport de sécurité et des indicateurs
Le Threat Landscape Report de Fortinet, rapport trimestriel issu des travaux collectifs de veille des FortiGuard Labs, capitalise sur un large panel mondial de capteurs déployés par Fortinet sur le second trimestre 2019. Ce rapport présente des perspectives tant à l’échelle mondiale que régionale. L’indice Fortinet Threat Landscape Index (TLI) est constitué d’indicateurs associés à 3 domaines essentiels et complémentaires de l’univers des menaces : les exploits, les malwares et les botnets. Ces indicateurs révèlent le niveau de prévalence et le volume de chacune de ces menaces sur un trimestre donné.

Ressources supplémentaires

• Lire notre blog pour plus d'informations sur cette recherche ou pour accéder au rapport complet sur les menaces. 
• Pour voir l'Index du paysage des menaces de Fortinet et les sous-indices pour les botnets, les logiciels malveillants et les exploits pour Q2 2019, ou accéder au rapport complet.
• Pour obtenir un aperçu plus détaillé des menaces et des événements changeants qui sont à l'origine de l'Index Fortinet Threat Landscape chaque semaine, consultez notre rapport hebdomadaire sur les menaces. 
• En savoir plus sur FortiGuard Labs et la gamme FortiGuard Security Services.
• En savoir plus sur le FortiGuard Security Rating Service, qui propose des audits de sécurité et les meilleures pratiques.
• Pour en savoir plus sur le Network Security Expert program, le Network Security Academy program et le FortiVets program.
• En savoir plus sur la Fortinet Security Fabric.
• Suivez Fortinet sur Twitter, LinkedIn, Facebook, YouTube et Instagram.