Les cybercriminels misent toujours davantage sur les techniques d’évasion et de contournement des analyses antimalware pour éviter de se faire détecter

L'indice Fortinet Threat Landscape Index atteint un nouveau record, soulignant une progression permanente du nombre de cyberattaques

Paris, France - 27/08/2019


Phil Quade, Chief Information Security Officer, Fortinet

Les cybercriminels, avec leurs méthodes d’attaque toujours plus diversifiées et sophistiquées, opèrent de manière plus rapide et interconnectée. Les entreprises ciblées doivent procéder de même et donner la priorité aux fondamentaux de la sécurité pour mieux gérer et maîtriser les cyber risques. Une approche de type Security Fabric s’impose pour interconnecter l’ensemble des composantes de l’infrastructure de sécurité. La segmentation, une veille décisionnelle sur les menaces, l’automatisation et le machine learning sont devenus les nouvelles armes d’une cybersécurité qui, elle aussi, doit s’optimiser."

L’essentiel :

Fortinet® (NASDAQ: FTNT), l'un des leader mondiaux de solutions de cybersécurité automatisées, intégrales et intégrées, annonce la publication de son tout dernier rapport trimestriel de sécurité Global Threat Landscape Report.

  • Cette étude révèle que les cybercriminels continuent à rechercher de nouvelles opportunités d’attaque sur l’ensemble de la surface d’attaque et qu’ils utilisent des techniques d’évasion et de contournement des analyses antimalware pour mener leurs attaques de manière plus sophistiquées et furtives.
  • L'indice Threat Landscape Index a franchi un nouveau cap ce trimestre, en progressant de près de 4% par rapport à sa valeur initiale sur une année, pour atteindre un pic annuel en fin du second trimestre 2019. Cette progression illustre la recrudescence de l’activité des malware et des exploits.
  • Pour le résultat détaillé des indicateurs d’activité des exploits, des botnets et des malware, et pour une synthèse décisionnelle à l’intention des DSI et RSSI, rendez-vous sur le blog. Voici néanmoins les temps forts de ce nouveau rapport :

Une progression des techniques d’évasion

De nombreux outils modernes de malware intègrent des fonctionnalités pour contourner les antivirus et autres mesures de détection : les cybercriminels ont affûté leurs armes pour gagner en furtivité, déjouer les analyses antimalware et éviter de se faire détecter.

À titre d’exemple, une campagne de spam illustre comment les assaillants utilisent et affinent ces techniques contre leurs cibles. Lors de cette attaque, un email de phishing est utilisé pour transmettre un fichier Excel avec une macro malveillante, dont l’objectif est de désactiver les outils de sécurité, d’exécuter des commandes de manière arbitraire, de causer des problèmes au niveau de la mémoire et de ne cibler que les systèmes japonais. Une de ses propriétés recherche plus particulièrement une variable xIDate, mais ce mode opératoire semble encore non documenté à ce jour.

Autre exemple, celui du cheval de troie bancaire Dridex qui modifie le nom et les hash des fichiers à chaque connexion de la victime, ce qui rend plus difficile l’identification du malware sur les systèmes hôtes infectés.

L’utilisation croissance de techniques d’évasion et de contournement des analyses antimalware incite à déployer différentes couches de sécurité et à s’orienter vers une détection comportementale des menaces.

Les attaques furtives visent le long terme 

Le malware Zegost de détournement de données, au cœur d’une campagne de spear phishing, présente des techniques pour le moins intrigantes. À l’instar d’autres outils similaires, l’objectif principal de Zegost est de recueillir des informations sur le dispositif de la victime et de les exfiltrer. Cependant, Zegost se distingue par sa furtivité, grâce notamment à une fonction de « nettoyage » des logs applicatifs, qui permet de masquer sa présence. D’autre part, Zegost présente également une commande de mise en attente jusqu’au 14 février 2019, date à laquelle il a initié son processus d’infection.

Les auteurs de Zegost ont su utiliser tout un arsenal d’exploits pour établir et maintenir une connexion avec leurs victimes, ce qui en fait une menace sur le long terme par rapport aux autres malware similaires.

Le ransomware continue à se transmettre via des attaques toujours plus ciblées

Les attaques ciblant de multiples villes, collectivités locales et acteurs de l’enseignement rappellent que le ransomware reste d’actualité et qu’il continue à viser de nombreuses organisations. Les attaques par ransomware se font de moins en moins en masse et de manière opportuniste. Le ciblage est devenu une réalité et la priorité est donnée aux entreprises perçues comme susceptibles de régler une rançon. Dans certains cas, les cybercriminels procèdent à une phase amont approfondie de reconnaissance avant de déployer leur ransomware sur des systèmes identifiés avec précision, ce qui maximise les opportunités d’infection.

À titre d’exemple, le ransomware RobbinHood s’en prend à l’infrastructure réseau des entreprises. Il est capable de désactiver les services Windows qui préviennent le chiffrement des données, mais aussi de déconnecter les disques partagés.

Un autre nouveau ransomware appelé Sodinokibi pourrait bien devenir la prochaine menace majeure pour les entreprises. D’un point de vue fonctionnel, il n’est pas vraiment différent de la majorité des outils de ransomware. Il se distingue néanmoins par son vecteur d’attaque puisqu’il exploite une nouvelle vulnérabilité qui permet l'exécution de code arbitraire et n'a pas besoin d'interaction de la part de l'utilisateur, comme c'est le cas pour d'autres logiciels de ransomware livrés par email phishing.

Quel que soit le vecteur utilisé, le ransomware reste, et restera, une menace sérieuse pour les entreprises : plus que jamais, le patching doit être prioritaire, au même titre que la sensibilisation des collaborateurs aux risques de cybersécurité.

De plus, les vulnérabilités du protocole RDP (Remote Desktop Protocol), comme BlueKeep, sont un avertissement que les services d'accès à distance peuvent être des opportunités pour les cybercriminels et qu'ils peuvent également être utilisés comme vecteur d'attaque pour diffuser des logiciels de rançon.

De nouvelles opportunités sur la surface d’attaque

Entre l'imprimante personnelle et les infrastructures critiques, émergent désormais de nombreux systèmes de contrôle à usage résidentiel et pour les petites entreprises. Ces systèmes intelligents attirent moins l'attention des assaillants que leurs homologues industriels, mais les choses peuvent évoluer compte tenu de l'augmentation observée de l'activité ciblant ces dispositifs de contrôle tels que les capteurs environnementaux, les caméras de sécurité, ou encore les systèmes de sécurité. Une signature liée aux solutions de gestion techniques du bâtiment a été émise par 1% des entreprises. Ce chiffre peut paraître peu élevé, mais il reste néanmoins supérieur à ce qu’on observe parmi les systèmes de contrôle industriel (ICS) et SCADA.

Les cybercriminels sont à la recherche de nouvelles possibilités de détourner les dispositifs de contrôle, tant au sein des espaces résidentiels que des entreprises. Parfois, ces types d'appareils ne sont pas aussi prioritaires que d'autres ou ne sont pas intégrés dans les processus traditionnels de gestion IT. La sécurité des systèmes intelligents résidentiels et pour les petites entreprises mérite une attention particulière, d'autant que la possibilité d’y accéder pourrait lourdement peser sur la sécurité. Ceci est particulièrement vrai pour les environnements de travail distants où la sécurité des accès reste critique.

Comment protéger votre entreprise : une sécurité large, intégrée et automatisée

Une veille sur les menaces dynamique, proactive et en temps-réel permet d’identifier les tendances et les méthodes d’attaque qui ciblent la surface d’attaque, ainsi que les priorités en matière de pratiques de cybersécurité. La prise de décision basée sur une veille sur les menaces est fortement altérée s’il n’est pas possible de capitaliser en temps réel sur cette veille, à l’échelle de chaque dispositif de sécurité. Seule une Security Fabric large, intégrée et automatisée peut déployer une protection sur l’ensemble de l’environnement réseau, de l’IoT jusqu’à la périphérie et jusqu’au cloud, du cœur du réseau aux environnements multi-cloud, en optimisant la rapidité et l’évolutivité.

À propos du rapport de sécurité et des indicateurs
Le Threat Landscape Report de Fortinet, rapport trimestriel issu des travaux collectifs de veille des FortiGuard Labs, capitalise sur un large panel mondial de capteurs déployés par Fortinet sur le second trimestre 2019. Ce rapport présente des perspectives tant à l’échelle mondiale que régionale. L’indice Fortinet Threat Landscape Index (TLI) est constitué d’indicateurs associés à 3 domaines essentiels et complémentaires de l’univers des menaces : les exploits, les malwares et les botnets. Ces indicateurs révèlent le niveau de prévalence et le volume de chacune de ces menaces sur un trimestre donné.

Ressources supplémentaires

About Fortinet

Fortinet (NASDAQ: FTNT) secures the largest enterprise, service provider, and government organizations around the world. Fortinet empowers its customers with intelligent, seamless protection across the expanding attack surface and the power to take on ever-increasing performance requirements of the borderless network - today and into the future. Only the Fortinet Security Fabric architecture can deliver security features without compromise to address the most critical security challenges, whether in networked, application, cloud or mobile environments. Fortinet ranks #1 in the most security appliances shipped worldwide and more than 400,000 customers trust Fortinet to protect their businesses. Learn more at https://www.fortinet.com, the Fortinet Blog, or FortiGuard Labs.

Copyright © 2019 Fortinet, Inc. All rights reserved. The symbols ® and ™ denote respectively federally registered trademarks and common law trademarks of Fortinet, Inc., its subsidiaries and affiliates. Fortinet's trademarks include, but are not limited to, the following: Fortinet, FortiGate, FortiGuard, FortiCare, FortiManager, FortiAnalyzer, FortiOS, FortiADC, FortiAP, FortiAppMonitor, FortiASIC, FortiAuthenticator, FortiBridge, FortiCache, FortiCamera, FortiCASB, FortiClient, FortiCloud, FortiConnect, FortiController, FortiConverter, FortiDB, FortiDDoS, FortiExplorer, FortiExtender, FortiFone, FortiCarrier, FortiHypervisor, FortiIsolator, FortiMail, FortiMonitor, FortiNAC, FortiPlanner, FortiPortal, FortiPresence , FortiProxy, FortiRecorder, FortiSandbox, FortiSIEM, FortiSwitch, FortiTester, FortiToken, FortiVoice, FortiWAN, FortiWeb, FortiWiFi, FortiWLC, FortiWLCOS and FortiWLM.

Other trademarks belong to their respective owners. Fortinet has not independently verified statements or certifications herein attributed to third parties and Fortinet does not independently endorse such statements. Notwithstanding anything to the contrary herein, nothing herein constitutes a warranty, guarantee, contract, binding specification or other binding commitment by Fortinet or any indication of intent related to a binding commitment, and performance and other specification information herein may be unique to certain environments. This news release may contain forward-looking statements that involve uncertainties and assumptions, such as statements regarding technology releases among others. Changes of circumstances, product release delays, or other risks as stated in our filings with the Securities and Exchange Commission, located at www.sec.gov, may cause results to differ materially from those expressed or implied in this press release. If the uncertainties materialize or the assumptions prove incorrect, results may differ materially from those expressed or implied by such forward-looking statements and assumptions. All statements other than statements of historical fact are statements that could be deemed forward-looking statements. Fortinet assumes no obligation to update any forward-looking statements, and expressly disclaims any obligation to update these forward-looking statements.