Toujours plus de cybermenaces se développent dans l’IT

Une série d’études de plusieurs éditeurs et prestataires de services convergent pour donner des tendances en matière de cybermenaces.

L’exploit Eternal Blue a beau dater de plusieurs années, il reste très à la mode.

Est-il encore nécessaire de répéter que les cybermenaces sont croissantes ? Il est par contre sans doute utile de préciser quelles sont les tendances en matière de cybermenaces. Et ces tendances sont tout sauf rassurantes. Plusieurs éditeurs ont réalisé récemment chacun une étude et les résultats obtenus par chacun convergent largement (voir encadré). D’une manière générale, les anciennes menaces basées sur les failles bien connues, notamment au travers du protocole SMB, restent parfaitement d’actualité et de nouvelles menaces surgissent en s’y ajoutant. Il est donc nécessaire de ne jamais baisser la garde sur des exploits anciens. Les cybercriminels, selon Fortinet, profitent des carences en compétences en cybersécurité dans les organisations.

F-Secure et Fortinet soulignent ainsi combien l’exploit Eternal Blue reste d’actualité et a été à l’origine de nombreuses cyberattaques en 2019. Fortinet précise que l’Eternal Blue Downloader Trojan évolue régulièrement pour tenir compte des nouvelles opportunités. Ce malware est ainsi à l’origine de la dissémination de nombreux vers mais aussi de crypto-virus tels que WannaCry et NotPetya. Une version récente exploitant la faille Blue Keep ajoutée à la série déjà couverte par ce couteau suisse multi-faille, n’est pas encore tout à fait opérationnelle mais Fortinet prévoit que cette version deviendra rapidement une menace importante.

Spam et ransomware en vedettes

Une autre tendance qui reste d’actualité est l’exploitation des failles des objets connectés, notamment au travers du malware Mirai comme le mentionne F-Secure. Fortinet dénonce la présence de nombreux codes embarqués communs pas nécessairement clairement identifiés, ce qui peut nuire à l’identification des failles. Bien entendu, le spam demeure la menace (ou plutôt la méta-menace) la plus importante en masse. Ceux comprenant des ransomwares sont moins nombreux selon F-Secure mais les ransomwares sont désormais mieux ciblés, donc plus efficaces et ravageurs. Une méthode est le téléchargement en deux étapes : le ransomware n’est effectivement téléchargé que en « charge utile secondaire » (28 % des cas) selon la description de F-Secure. CrowdStrike confirme cette prédominance des ransomwares.

Selon F-Secure, Etats-Unis, Chine, Russie et Ukraine sont les pays dont les adresses IP sont les plus utilisées pour mener des attaques. Celles-ci visent prioritairement l’Ukraine, la Chine, l’Autriche et les Etats-Unis. Pour le trafic SMB, les attaques proviennent surtout des Philippines et de la Chine. Le trafic Telnet, par contre, provient des Etats-Unis, de l’Arménie, du Royaume-Uni, de Bulgarie et de France. Pour Fortinet, les sources de spams visant les Etats-Unis sont la Pologne, la Russie, l’Allemagne, le Japon et le Brésil, même si l’Europe de l’Est est le principal « exportateur de spams » dans le monde entier.

Un chaton pas si charmant

Selon Fortinet, un acteur important des cyberattaques depuis 2014 est le groupe criminel baptisé Charming Kitten (Chaton Charmant), spécialisé dans les menaces persistantes avancées (APT, Advanced Persistent Threats) et qui serait lié à l’Iran. Son activité s’est étendue à l’espionnage, avec quatre méthodes de manipulation visant à capter des informations sensibles, et à la perturbations de processus électoraux. Les pays qui sont les cibles actuelles majeures ne sont pas forcément ceux de demain. Ainsi, le taux de succès d’une attaque en Chine est bien supérieur à celui aux Etats-Unis mais le nombre d’attaques reste aujourd’hui plus élevé dans ce dernier pays. Pour Fortinet, un rééquilibrage doit être attendu.

Certains secteurs peuvent être l’objet d’une typologie d’attaques spécifique. Ainsi, selon CrowdStrike, « le secteur des télécommunications est de plus en plus souvent ciblé par des acteurs étatiques tels que la Chine et la Corée du Nord. » D’autres secteurs sensibles sont dans le même cas. De plus, la Corée du Nord s’en prendrait volontiers aux plates-formes d’échanges de cryptomonnaie. La même étude indique une bascule technologique. Là où un malware était impliqué dans 60 % des cas d’attaques ces dernières années, aucun ne l’est aujourd’hui dans 51 % des cas, donc une majorité.

chevron_left
chevron_right