Paris, le 9 décembre 2020 - WatchGuard® Technologies, leader mondial en matière de sécurité et d’intelligence réseau, de Wi-Fi sécurisé, d’authentification multifacteur et de protection avancée des postes de travail, annonce la publication de son rapport en matière de sécurité Internet pour le 3ème trimestre 2020. Les principaux résultats de l’étude révèlent l’impact du COVID‑19 sur le paysage des menaces de sécurité et attestent de la persistance des attaques à l’encontre des réseaux d’entreprise malgré la mise en place de la pratique du télétravail. Ils font par ailleurs état d’une hausse des domaines malveillants et des campagnes de phishing mettant à profit la pandémie.
« Alors que l’impact du COVID‑19 continue à se faire sentir, nos renseignements sur les menaces fournissent des informations clés sur la façon dont les cybercriminels adaptent leurs tactiques », déclare Corey Nachreiner, CTO de WatchGuard. « Bien qu’il n’existe pas de "nouvelle normalité" en matière de sécurité, les entreprises peuvent être certaines que le renforcement de la protection des postes de travail et du réseau sera une priorité en 2021 et au-delà. Il sera également important d’adopter une approche multiniveau de la sécurité des informations, avec des services capables de déjouer les attaques évasives et chiffrées, les campagnes de phishing sophistiquées et autres menaces. »
Les rapports WatchGuard en matière de sécurité Internet informent les entreprises, leurs partenaires et leurs clients finaux au travers de données objectives, d’analyses d’experts, ainsi que d’informations exploitables sur les dernières tendances relatives aux malwares et aux attaques réseau à mesure qu’elles se dessinent et influent sur un paysage des menaces en constante évolution. Le rapport du 3ème trimestre 2020 comprend notamment les conclusions suivantes :
- Les attaques réseau et les détections uniques ont atteint leur plus haut niveau depuis deux ans. On dénombre plus de 3,3 millions d’attaques réseau au 3ème trimestre. Cela représente une hausse de 90 % par rapport au trimestre précédent et le plus haut niveau jamais atteint depuis 2 ans. Les signatures uniques d’attaques réseau ont elles aussi poursuivi leur trajectoire ascendante, atteignant leur plus haut niveau depuis 2 ans. Ces conclusions soulignent la nécessité pour les entreprises de donner la priorité au maintien et au renforcement de la protection des actifs et des services réseau, et ce, malgré le nombre croissant de télétravailleurs.
- Les escroqueries mettant la COVID-19 à profit s’intensifient - Au troisième trimestre, des sites Web légitimes de soutien face à la pandémie ont été ciblés par une campagne d’adware mettant à profit la COVID-19, ce qui leur a valu d’intégrer le classement WatchGuard des 10 sites Web les plus compromis. WatchGuard a par ailleurs mis au jour une attaque de phishing qui se sert de Microsoft SharePoint pour héberger une fausse page de connexion semblant émaner des Nations Unies (ONU) au sein d’un email d’hameçonnage mettant en exergue l’aide apportée par l’ONU aux petites entreprises en raison de la pandémie. Au vu de ces résultats, il est clair que les attaquants n’ont de cesse d’exploiter les peurs, incertitudes et autres doutes qui vont de pair avec les crises sanitaires mondiales, afin de leurrer leurs victimes.
- Les entreprises cliquent sur des centaines de liens malveillants véhiculés par des campagnes de phishing. Au 3ème trimestre, le service de sécurité DNSWatch de WatchGuard a bloqué au total 2 764 736 connexions à des domaines malveillants, soit 499 connexions bloquées par entreprise. Autrement dit, chaque entreprise se serait connectée à 262 domaines de malwares et à 71 sites Web compromis, et aurait été exposée à 52 campagnes de phishing. Si l’on ajoute à cela la recrudescence évoquée précédemment d’escroqueries au COVID-19 convaincantes, ces résultats montrent à quel point il est important de déployer des services de filtrage au niveau du DNS et de sensibiliser les utilisateurs à la sécurité.
- Les attaquants à l’affût des systèmes SCADA vulnérables aux États-Unis. Au 3ème trimestre, le seul nouvel ajout à la liste WatchGuard des attaques réseau les plus répandues exploite une vulnérabilité de contournement de l’authentification, qui fait pourtant l’objet d’un correctif, dans un système de contrôle et d’acquisition de données (SCADA) populaire. Moins grave qu’une faille d’exécution de code à distance, ce type de vulnérabilité peut néanmoins permettre à un attaquant de prendre le contrôle du logiciel SCADA s’exécutant sur le serveur. Près de 50 % des réseaux américains ont ainsi été visés par cette menace au 3ème trimestre, laissant à penser que les systèmes de contrôle industriel pourraient bien devenir une cible privilégiée pour les cybercriminels au cours de l’année à venir.
- Une variante de LokiBot propulsée en tête de liste des malwares les plus répandus. Farelt, un « voleur de mots de passe » s’apparentant à LokiBot, a rejoint la liste WatchGuard des 5 malwares les plus répandus au 3ème trimestre. Même s’il n’est pas certain que LokiBot et le botnet Farelt utilisent une structure de commande et de contrôle identique, ces variantes de malware ont très probablement toutes deux été créées par le groupe SilverTerrier. Ce botnet a recours à de nombreuses tactiques pour échapper aux contrôles antivirus et inciter les utilisateurs à installer le malware. D’après les recherches WatchGuard, des preuves solides semblent indiquer que le malware a probablement ciblé beaucoup plus de victimes que les données ne le laissent entrevoir.
- Persistance d’Emotet. Emotet, cheval de Troie bancaire prolifique et « voleur de mots de passe » connu, a pour la première fois intégré le palmarès WatchGuard des 10 principaux malwares au 3ème trimestre, manquant de peu le Top 10 des domaines de diffusion de malwares (de quelques connexions seulement). Bien qu’à la 11ème place, cette entrée dans le classement est à prendre très au sérieux. Le Threat Lab de WatchGuard et d’autres équipes de recherche ont en effet constaté que les infections actuelles d’Emotet distribuaient des charges utiles supplémentaires, comme Trickbot et même le ransomware Ryuk, et ne montraient aucun signe de ralentissement.
Les rapports trimestriels de WatchGuard s’appuient sur les données anonymisées du flux provenant des appliances WatchGuard Firebox actives, que leurs propriétaires ont accepté de partager afin de soutenir les efforts de recherche du Threat Lab. Le rapport du 3ème trimestre s’appuie sur les données fournies par près de 48 000 appliances WatchGuard (un nombre record), lesquelles ont bloqué plus de 21,5 millions de variantes de malwares (450 par appareil) et plus de 3,3 millions de menaces réseau (soit environ 70 détections par appliance). Les appliances Firebox ont continué à enregistrer une hausse des détections de signatures uniques, identifiant et bloquant collectivement 438 signatures d’attaques uniques. Ce chiffre est en progression de 6,8 % par rapport au 2nd trimestre et représente la plus forte hausse depuis le 4ème trimestre 2018.
Le rapport complet repose sur une étude approfondie et recense les meilleures pratiques de défense exploitables par les entreprises de toutes tailles pour se protéger contre les menaces de sécurité modernes. Le rapport contient en outre une analyse détaillée du piratage historique de Twitter en juillet 2020, qui a compromis 130 comptes de célébrités dans le but de promouvoir une arnaque au Bitcoin.