Skip to content Skip to navigation Skip to footer

Communiqués de presse

Pour FortiGuard Labs, les ransomwares ne faiblissent pas et opèrent sans relâche avec un impact plus dévastateur

La sophistication, la rapidité et la diversité des techniques d'attaque illustrent la nécessité de renforcer la cybersécurité à chaque étape de la chaîne de frappe des attaques

SUNNYVALE, Calif., - 03/02/2022


Derek Manky, Chief, Security Insights & Global Threat Alliances, FortiGuard Labs

La cybersécurité est un secteur dynamique qui évolue rapidement. Pour autant, les assaillants développent et lancent leurs attaques à une vitesse sans précédent. Des techniques d’attaque nouvelles et en évolution émergent sur l’ensemble de la chaîne de frappe, mais en particulier lors de la phase d'armement, aboutissant à une cybercriminalité plus sophistiquée et persistante, plus destructrice et imprévisible. Pour se protéger contre ce large éventail de menaces, les entreprises doivent mettre en œuvre des stratégies de prévention, de détection et de riposte alimentées par l'IA et basées sur une architecture mesh de cybersécurité. Cette architecture favorise une intégration plus étroite des solutions de sécurité, une automatisation accrue des opérations, ainsi qu'une réponse plus rapide, coordonnée et efficace aux menaces sur le réseau étendu.”

L’essentiel :

Fortinet® (NASDAQ: FTNT), l'un des leaders mondiaux de solutions globales, intégrées et automatisées de cybersécurité, annonce la publication de son nouveau rapport semestriel FortiGuard Labs Global Threat Landscape Report. La veille sur les menaces sur le 2e semestre 2021 révèle une automatisation et une accélération des attaques, basées sur des stratégies persistantes, plus sophistiquées et destructrices, mais également imprévisibles. En outre, l'expansion de la surface d'attaque, résultant de collaborateurs travaillant en mode hybride et de réseaux plus étendus, constitue une faiblesse que les assaillants tentent d'exploiter. Pour davantage d’informations sur ce nouveau rapport sur le second trimestre 2021, merci de consulter notre blog. En voici néanmoins les temps forts :

Log4j illustre la vulnérabilité des entreprises face à la rapidité des exploits : les vulnérabilités Log4j, apparues fin 2021, témoignent de la forte réactivité des cybercriminels pour en tirer parti et les exploiter. Apparue au cours de la deuxième semaine de décembre, l'activité criminelle autour de cette vulnérabilité s'est intensifiée assez rapidement, en moins d'un mois, pour en faire la détection IPS la plus fréquente sur le second semestre de 2021. Pour preuve, le volume d'activité de Log4j était près de 50 fois supérieur à celui de la vulnérabilité bien connue ProxyLogon qui est apparue plus tôt en 2021. Face à la vitesse à laquelle les assaillants exploitent les nouvelles opportunités, les entreprises ont très peu de temps pour réagir et appliquer les patchs. Elles ont besoin de systèmes de prévention des intrusions (IPS) optimisés par Intelligence Artificielle et Machine Learning, d’une stratégie pertinente de patching et d'une visibilité intégrale sur les menaces pour lutter en priorité sur les menaces se propageant rapidement, et ainsi réduire le risque global.

In ten days, the Log4J DoS doubled the cumulative volume of Struts' first year

Les assaillants ciblent plus rapidement les nouveaux vecteurs d'attaques : certaines menaces, bien que mineures, ont néanmoins le potentiel de causer des dégâts majeurs à terme et méritent donc d'être surveillées. C'est le cas des logiciels malveillants récemment conçus pour compromettre les systèmes sous Linux, souvent distribués sous la forme de fichiers binaires ELF (executable and linkable format). Linux, présent dans le back-end de nombreux réseaux et au cœur de solutions conteneurisées pour l'IoT et de certaines applications critiques, devient donc une cible privilégiée pour les assaillants. De fait, le taux de nouvelles signatures associées à des malware ciblant Linux est ressorti 4 fois plus important entre le 4e trimestre et le 1er trimestre 2021. La variante ELF Muhstik, les attaques RedXOR et même Log4j sont des exemples de menaces ciblant Linux. La prévalence des ELF et des malware Linux détectés a doublé en 2021. Cette croissance, en nombre de variants et de volume, suggère que les attaques sur Linux font de plus en plus partie de l'arsenal des assaillants. Les dispositifs équipés de Linux doivent donc être sécurisés, surveillés et gérés comme tout autre endpoint du réseau, avec une protection, une détection et une réponse adaptées et automatisées. D’autre part, les bonnes pratiques de sécurité doivent également être mises en œuvre pour protéger les systèmes visés par des attaques plus furtives.

Les tendances en matière de botnet témoignent d’une sophistication des attaques : les tendances en matière de menaces montrent que les botnets évoluent pour adopter des techniques d'attaques très récentes et plus sophistiquées. Les botnets ne se contentent plus de mener des attaques DDoS et sont devenus des leviers d'attaque polyvalents, adoptant différents modes opératoires, y compris les ransomwares. Par exemple, les assaillants, y compris les opérateurs de botnets comme Mirai, ont intégré la vulnérabilité Log4j dans leurs kits d'attaque. De même, la présence de botnets a été observée en relation avec une nouvelle variante de la backdoor RedXOR, pour cibler les systèmes Linux et exfiltrer des données. La fréquence de détection des botnets délivrant une variante du malware RedLine Stealer a également bondi début octobre, en s’en prenant à de nouvelles cibles à l’aide d’un fichier malveillant ayant pour thématique le COVID. Pour protéger les réseaux et les applications, les entreprises doivent mettre en œuvre des solutions d'accès Zero-Trust (ZTA) et opter pour le principe du privilège d'accès moindre, en particulier pour sécuriser les objets IoT et les dispositifs entrant dans le réseau. D’autre part, des outils automatisés de détection et de réponse sont nécessaires pour surveiller les comportements suspects.

Les tendances en matière de malware indiquent que les cybercriminels exploitent au mieux le "tout à distance" : l'étude des variants de malware révèle que les assaillants ciblent le travail et l’apprentissage à distance, en particulier à l’aide de malware infectant les navigateurs. Ceci prend souvent la forme de leurres de phishing ou de scripts qui injectent du code ou redirigent les utilisateurs vers des sites malveillants. Les analyses détaillées, si elles varient selon les régions du monde, pointent néanmoins trois grands mécanismes de propagation : les exécutables Microsoft Office (MSExcel, MSOffice), les fichiers PDF et les scripts de navigateurs (HTML, JS). Ces techniques restent prisées des cybercriminels qui profitent de l’intérêt des collaborateurs pour l’actualité autour de la pandémie, la politique, le sport, etc. Elles permettent d’identifier par la suite des passerelles vers les réseaux d'entreprise. Le travail et la formation à distance restant d'actualité, les logiciels malveillants s’en prennent plus facilement à leurs victimes potentielles, compte tenu d’un niveau de sécurité plus faible. Les entreprises doivent disposer d’une sécurité omniprésente et qui tire parti de solutions capables de suivre, d'activer et de protéger les utilisateurs, où qu'ils se trouvent. Elles ont besoin d'une sécurité renforcée de leurs endpoints (EDR), combinée à des solutions d'accès zero-trust, y compris ZTNA. Le SD-WAN sécurisé est également essentiel pour garantir une connectivité WAN sûre au niveau du réseau étendu.

L'activité des ransomware reste élevée et devient dévastatrice : les analyses de FortiGuard Labs révèlent que les ransomwares n'ont pas faibli après leur niveau record de l'année dernière, et que leur sophistication, leur agressivité et leur impact sont en progression. Les cybercriminels continuent à attaquer les entreprises à l’aide de différents ransomwares, nouveaux ou anciens, avec souvent des dégâts considérables à la clé. Les ransomwares historiques, constamment mis à jour et améliorés, s’enrichissent parfois de fonctions d'effacement des données, tandis que d'autres évoluent vers le modèle économique du "Ransomware-as-as-Service" (RaaS). Le RaaS permet à un plus grand nombre d'assaillants d'exploiter et de propager ces ransomwares sans même avoir à les développer. FortiGuard Labs a observé un niveau constant d'activités malveillantes impliquant plusieurs types de ransomwares, avec notamment de nouvelles versions de Phobos, Yanluowang et BlackMatter. Les opérateurs de BlackMatter avaient déclaré ne pas s’en prendre aux acteurs de la santé et aux infrastructures critiques, mais ils l'ont quand même fait. Les attaques par ransomwares restent donc d'actualité pour toutes les entreprises, quels que soient leur secteur ou leur taille. Les entreprises doivent adopter une approche proactive, basée sur une visibilité, une analyse, une protection et une réponse en temps réel, ainsi que des solutions d'accès zéro trust, une segmentation du réseau et une sauvegarde régulière des données.

La compréhension des techniques d'attaque permet de contrer les assaillants plus rapidement : analyser les stratégies d'attaque permet d’ajuster les mécanismes de défense face à l'évolution rapide des techniques utilisées. Pour comprendre les conséquences des diverses attaques, FortiGuard Labs a analysé le panel fonctionnel d'un grand nombre de logiciels malveillants détectés tout au long de l'année. Le fruit de cette analyse nous fournit une liste de tactiques, techniques et procédures (TTP) mise en œuvre par un malware lors d’une attaque. Ces renseignements de valeur montrent qu'il est plus important que jamais de neutraliser un assaillant en amont. En se concentrant sur quelques-unes des techniques parfaitement identifiées, une entreprise peut, dans certains cas, déjouer efficacement les d'attaques. Par exemple, les trois principales techniques "d'exécution" totalisent 82% de celles-ci. Pour la phase de "persistance", deux techniques totalisent à elles seules près de 95 % de nos observations. L'exploitation de ces connaissances peut avoir un effet spectaculaire sur la façon dont les entreprises hiérarchisent leurs stratégies de sécurité pour optimiser leur défense.

 

Diagram of execution, persistence, and defense evasion

Se protéger contre des cyber-assaillants sophistiqués et rapides :

Dans la mesure où les attaques deviennent de plus en plus sophistiquées et portent rapidement sur toute la surface d’attaque possible, les entreprises ont besoin de solutions capables de collaborer entre elles plutôt que de fonctionner de manière cloisonnée. Pour se prémunir des nouvelles techniques d'attaque, des solutions plus intelligentes s’imposent, celles capables d'agréger en temps réel les nombreuses informations sur les nouvelles menaces, de détecter leurs modèles et leurs caractéristiques, de corréler un volume important de données pour détecter les anomalies et de lancer automatiquement la réponse appropriée. Les solutions ponctuelles doivent être remplacées par une plateforme mesh de cybersécurité offrant une gestion centralisée, une automatisation des tâches et des solutions intégrées fonctionnant de concert.

 

Synthèse du rapport

Ce nouvel opus du Global Threat Landscape Report résulte des travaux collectifs de veille des   FortiGuard Labs et tire parti du panel mondial de capteurs de Fortinet qui a recueilli des milliards d’événements sur les menaces dans le monde sur le second semestre 2021. Le framework MITRE ATT&CK catégorise les tactiques et techniques des assaillants, notamment sur des critères de reconnaissance, de développement de ressources et d’accès initial. Le Global Threat Landscape Report s’inspire de ce modèle pour décrire comment les cybercriminels identifient des vulnérabilités, définissent les infrastructures malveillantes et impactent leurs cibles. Ce rapport propose des perspectives mondiales et régionales également.

Ressources complémentaires

About FortiGuard Labs

FortiGuard Labs is the threat intelligence and research organization at Fortinet. Its mission is to provide Fortinet customers with the industry’s best threat intelligence designed to protect them from malicious activity and sophisticated cyberattacks. It is comprised of some of the industry’s most knowledgeable threat hunters, researchers, analysts, engineers and data scientists in the industry, working in dedicated threat research labs all around the world. FortiGuard Labs continuously monitors the worldwide attack surface using millions of network sensors and hundreds of intelligence-sharing partners. It analyzes and processes this information using artificial intelligence (AI) and other innovative technology to mine that data for new threats. These efforts result in timely, actionable threat intelligence in the form of Fortinet security product updates, proactive threat research to help our customers better understand the threats and threat actors they face, and by providing threat intelligence to help our customers better understand and defend their threat landscape. Learn more at http://www.fortinet.com, the Fortinet Blog, or FortiGuard Labs.

À propos de Fortinet

Fortinet (NASDAQ : FTNT) rend possible un monde numérique auquel nous pouvons toujours faire confiance grâce à sa mission de protection des personnes, des appareils, des applications et des données partout dans le monde. C'est pourquoi les plus grandes entreprises, les fournisseurs de services et les organisations gouvernementales du monde entier choisissent Fortinet pour accélérer en toute sécurité leurs échanges numériques. La plateforme Fortinet Security Fabric offre des protections étendues, intégrées et automatisées sur toute la surface d'attaque numérique, sécurisant les appareils, les données, les applications et les connexions critiques du Data Center au cloud en passant par le travail à domicile. Classé au premier rang pour le nombre d'appliances sécurisées délivrées dans le monde, plus de 565 000 clients font confiance à Fortinet pour protéger leurs organisations. Et le Fortinet NSE Training Institute, une initiative du Training Advancement Agenda (TAA) de Fortinet, propose l'un des programmes de formation les plus vastes et les plus larges du secteur afin de rendre la formation à la cybersécurité et les nouvelles opportunités de carrière accessibles à tous. Pour en savoir plus, consultez le site https://www.fortinet.com/fr, le blog Fortinet ou FortiGuard Labs.

Copyright © 2022 Fortinet, Inc. All rights reserved. The symbols ® and ™ denote respectively federally registered trademarks and common law trademarks of Fortinet, Inc., its subsidiaries and affiliates. Fortinet's trademarks include, but are not limited to, the following: Fortinet, FortiGate, FortiGuard, FortiCare, FortiManager, FortiAnalyzer, FortiOS, FortiADC, FortiAP, FortiAppMonitor, FortiASIC, FortiAuthenticator, FortiBridge, FortiCache, FortiCamera, FortiCASB, FortiClient, FortiCloud, FortiConnect, FortiController, FortiConverter, FortiDB, FortiDDoS, FortiExplorer, FortiExtender, FortiFone, FortiCarrier, FortiHypervisor, FortiIsolator, FortiMail, FortiMonitor, FortiNAC, FortiPlanner, FortiPortal, FortiPresence , FortiProxy, FortiRecorder, FortiSandbox, FortiSIEM, FortiSwitch, FortiTester, FortiToken, FortiVoice, FortiWAN, FortiWeb, FortiWiFi, FortiWLC, FortiWLCOS and FortiWLM.

Other trademarks belong to their respective owners. Fortinet has not independently verified statements or certifications herein attributed to third parties and Fortinet does not independently endorse such statements. Notwithstanding anything to the contrary herein, nothing herein constitutes a warranty, guarantee, contract, binding specification or other binding commitment by Fortinet or any indication of intent related to a binding commitment, and performance and other specification information herein may be unique to certain environments. This news release may contain forward-looking statements that involve uncertainties and assumptions, such as statements regarding technology releases among others. Changes of circumstances, product release delays, or other risks as stated in our filings with the Securities and Exchange Commission, located at www.sec.gov, may cause results to differ materially from those expressed or implied in this press release. If the uncertainties materialize or the assumptions prove incorrect, results may differ materially from those expressed or implied by such forward-looking statements and assumptions. All statements other than statements of historical fact are statements that could be deemed forward-looking statements. Fortinet assumes no obligation to update any forward-looking statements, and expressly disclaims any obligation to update these forward-looking statements.