Communiqué de presse
Sep
24

Étude : WatchGuard révèle une hausse de 12 % des menaces furtives malgré une baisse globale du volume de malwares

Le dernier rapport de WatchGuard souligne l’importance de la sécurité multicouche alors même que les variantes de malwares de type « Zero-Day », les attaques de malware JavaScript et les menaces liées à Microsoft Excel augmentent

Paris, le 24 septembre 2020WatchGuard® Technologies, leader mondial en matière de sécurité et d’intelligence réseau, de Wi-Fi sécurisé, d’authentification multifacteur et de protection avancée des postes de travail, annonce la publication de son rapport en matière de sécurité Internet pour le second trimestre 2020. Au nombre des principales conclusions, celui-ci montre qu’en dépit d’une baisse de 8 % du nombre de malware détectés en Q2 2020, 70 % des attaques ont impliqué des malwares de type « Zero-Day » (variantes qui contournent les signatures des antivirus), soit une hausse de 12 % par rapport au trimestre précédent.

« Les entreprises ne sont pas les seules à s’être adaptées en raison de la pandémie de COVID-19 ; les cybercriminels ont fait de même », déclare Corey Nachreiner, CTO de WatchGuard. « La hausse des attaques sophistiquées et ce, malgré une diminution globale du nombre de malwares détectés au second trimestre (vraisemblablement liée à la transition vers le télétravail), indique que les hackers tendent à se tourner vers des tactiques plus furtives, que les solutions anti-malwares classiques reposant sur la reconnaissance de signatures ne peuvent pas détecter. Toutes les entreprises devraient désormais privilégier la détection des menaces basée sur le comportement, avoir recours à une sandbox dans le Cloud et s’équiper de multiples couches de services de sécurité afin de protéger à la fois le réseau et les collaborateurs travaillant à distance. » 

Le rapport WatchGuard en matière de sécurité Internet fournit des informations détaillées sur les dernières tendances liées aux attaques réseaux et de malwares, ainsi qu’une étude approfondie des menaces, mettant en exergue une série de bonnes pratiques de sécurité à mettre en œuvre au sein des entreprises pour qu’elles puissent renforcer leur posture de sécurité mais également celle de leurs partenaires et autres clients. Voici les principales conclusions du rapport pour le second trimestre 2020.
 

  • Les hackers continuent à exploiter les menaces furtives et chiffrées. Les malwares de type « Zero-Day » représentent plus des deux tiers de l’ensemble des attaques détectées en Q2, tandis que les attaques perpétrées via des connexions HTTPS chiffrées sont estimées à 34 %. Les entreprises qui ne sont pas capables d’inspecter le trafic chiffré passent à côté d’un tiers des menaces entrantes, un pourcentage édifiant. Même si le pourcentage de menaces mettant à profit le chiffrement a diminué par rapport aux 64 % du premier trimestre, le volume des malwares chiffrés via HTTPS a augmenté de manière significative. Il semble d’ailleurs que de plus en plus d’administrateurs prennent les mesures nécessaires pour activer l’inspection HTTPS sur les appliances de sécurité Firebox, mais il reste toutefois encore beaucoup à faire.
     
  • Les attaques via JavaScript sont en hausse. Le script du scam Trojan.Gnaeus fait son entrée dans le Top 10 établi par WatchGuard des malwares détectés au second trimestre. Le malware Gnaeus permet à ses auteurs de prendre le contrôle du navigateur de sa victime via un code dissimulé, et de détourner ladite victime des destinations Web initialement recherchées au profit de domaines qu’ils contrôlent. Une autre attaque pop-up JavaScript du nom de J.S. PopUnder fut l’une des variantes de malware les plus répandues en Q2. Dans ce cas, un script dissimulé examine les propriétés système de sa victime et bloque les tentatives de débogage en guise de tactique anti-détection. Pour lutter contre ces menaces, les entreprises devraient empêcher les utilisateurs de télécharger toute extension de navigateur depuis une source inconnue, s’assurer de la mise à jour régulière des navigateurs en installant les derniers correctifs, utiliser des logiciels de référence dédiés au blocage de publicités et disposer d’un moteur anti-malware à jour.
     
  • Les hackers utilisent de plus en plus des fichiers Excel chiffrés pour dissimuler des malwares. XML-Trojan.Abracadabra fait son apparition dans la liste des 10 malwares les plus détectés par WatchGuard en Q2, et affiche une hausse de popularité rapide depuis que cette technique a vu le jour en avril. Abracadabra est une variante de malware qui se propage sous la forme d’un fichier Excel chiffré avec le mot de passe « VelvetSweatshop » (mot de passe par défaut pour les documents Excel). Une fois ouvert, Excel déchiffre automatiquement le fichier et une macro de script VBA à l’intérieur du tableur télécharge et installe un fichier exécutable. L’utilisation d’un mot de passe par défaut permet à ce malware de contourner de nombreuses solutions antivirus car le fichier est chiffré puis déchiffré par Excel. Les entreprises ne devraient jamais autoriser de macros issues d’une source non fiable, et faire appel à une sandbox dans le Cloud pour vérifier l’intention réelle de fichiers potentiellement dangereux, avant que ces derniers ne commettent de dégâts.
     
  • Une ancienne attaque par déni de service, facile à exploiter, fait son retour. Une vulnérabilité de type déni de service datant d’il y a six ans et ciblant WordPress et Drupal fait son apparition dans le Top 10 établi par WatchGuard en Q2 des attaques réseau en volume. Cette vulnérabilité est particulièrement critique car elle concerne toutes les installations Drupal et WordPress non mises à jour et crée des scénarios de déni de service dans le cadre desquels des mécanismes nuisibles peuvent provoquer une corruption de la mémoire et du CPU du matériel sous-jacent. En dépit du volume important de ces attaques, elles étaient ultra-ciblées sur quelques dizaines de réseaux situés principalement en Allemagne. Puisque les scénarios de déni de service nécessitent un trafic constant vers les réseaux des victimes, il y a une forte probabilité pour que les attaquants aient sélectionné leurs cibles de manière intentionnelle.
     
  • Les domaines de malware exploitent les serveurs Command & Control pour faire des ravages. Deux nouveaux domaines de malware se sont hissés dans le classement Q2 afférent établi par WatchGuard. Le plus courant est findresults[.]site, qui utilise un serveur C&Cpour propager la variante du cheval de Troie Dadobra. Ce dernier crée un fichier dissimulé et le registre associé pour garantir l’exécution de l’attaque, l’exfiltration de données sensibles et le téléchargement de malware supplémentaire lorsque l’utilisateur démarre les systèmes Windows. Un utilisateur a alerté l’équipe WatchGuard concernant Cioco-froll[.]com, qui s’appuie sur un autre serveur C&C pour propager une variante du botnet Asprox (diffusé la plupart du temps via un document PDF) et émettre une balise C&C pour informer l’attaquant qu’il est plus persistant et qu’il est prêt à rejoindre le botnet. Un firewall DNS est en mesure d’aider les entreprises à détecter et bloquer ce type de menaces, indépendamment du protocole d’application de la connexion.

 

Les conclusions des rapports WatchGuard en matière de sécurité Internet sont établies à l’aide de données anonymisées du flux provenant des appliances WatchGuard Firebox, que leurs propriétaires ont accepté de partager afin de soutenir les recherches du Threat Lab. Au second trimestre, près de 42 000 appliances WatchGuard ont fourni des données permettant d’établir le rapport ; elles ont bloqué plus de 28,5 millions de variantes de malwares (684 par appareil) et plus de 1,75 million de menaces réseau (42 par appareil). Les appliances Firebox ont globalement détecté et bloqué 410 signatures d’attaque uniques au deuxième trimestre, ce qui représente augmentation de 15 % par rapport au premier trimestre, et la hausse la plus élevée depuis le quatrième trimestre 2018.
 

Le rapport complet fournit un nombre d’informations considérable sur les principales tendances en matière de malwares qui mettent à mal les entreprises du Mid-Market actuelles, ainsi que sur les stratégies de sécurité recommandées et les bonnes pratiques a mettre en œuvre pour s’en prémunir. Le rapport inclut également une analyse détaillée de la récente frénésie liée aux fuites de données orchestrées par le groupe de hackers ShinyHunters.
 

Retrouvez le rapport WatchGuard en matière de sécurité Internet du 2ème trimestre ici : https://www.watchguard.com/fr/wgrd-resource-center/security-report-q2-2020

A propos de WatchGuard Technologies, Inc.

WatchGuard® Technologies, Inc. est un leader mondial de la cybersécurité unifiée. Notre Unified Security Platform® est pensée pour les fournisseurs de services managés afin d’assurer une sécurité de pointe augmentant l’évolutivité et la vélocité de leur entreprise tout en améliorant leur efficacité opérationnelle. Recommandés par plus de 17 000 revendeurs et prestataires de services spécialisés dans la sécurité et adoptés par plus de 250 000 clients, les produits et services primés de WatchGuard mettent en lumière des solutions d’intelligence et de sécurité réseau, de protection avancée des endpoints, d’authentification multifacteur et de Wi-Fi sécurisé. Ensemble, ils offrent les cinq éléments essentiels d’une plateforme de sécurité : sécurité complète, intelligence collective, clarté et contrôle, alignement opérationnel et automatisation. La société a établi son siège social à Seattle, dans l’État de Washington, et possède des bureaux dans toute l’Amérique du Nord, en Europe, en Asie-Pacifique et en Amérique latine. Pour en savoir plus, rendez-vous sur le site WatchGuard.com/fr.

Vous pouvez aussi suivre WatchGuard sur les réseaux sociaux : Twitter et LinkedIn. Et suivre le blog de WatchGuard : Secplicity, pour des informations en temps réel sur les dernières menaces ou vous abonner au podcast The 443 - Security Simplified.

WatchGuard est une marque commerciale déposée de WatchGuard Technologies, Inc. Toutes les autres marques sont la propriété de leurs détenteurs respectifs.