Communiqué de presse
Mar
29

Le dernier rapport trimestriel du Threat Lab de WatchGuard révèle une augmentation des ransomwares sur les endpoints et une diminution des malwares détectés sur le réseau.

Selon le nouveau rapport du Threat Lab de WatchGuard, les connexions chiffrées sont devenues la méthode préférée des hackers pour diffuser des logiciels malveillants, ce qui expose les organismes qui ne déchiffrent pas leur trafic à un risque plus élevé.

Paris, le 29 Mars 2023 – WatchGuard® Technologies, leader mondial de la cybersécurité unifiée, a publié aujourd'hui les conclusions de son dernier rapport sur la sécurité d'Internet, détaillant les principales tendances en matière de malwares et de menaces pour la sécurité des réseaux et des endpoints analysées par les chercheurs du Threat Lab de WatchGuard au quatrième trimestre 2022. Alors que les principales conclusions ont montré une diminution des logiciels malveillants détectés sur le réseau, les ransomwares sur les endpoints ont quant à eux augmenté significativement de 627%. Les logiciels malveillants associés aux campagnes de phishing sont devenus une menace persistante.

Malgré une baisse globale des logiciels malveillants, une analyse plus poussée des chercheurs du Threat Lab de WatchGuard s’appuyant sur les Firebox qui déchiffrent le trafic HTTPS (TLS/SSL) a révélé une incidence plus élevée des logiciels malveillants, ce qui indique que leur activité s'est déplacée vers le trafic chiffré. Dans la mesure où seulement 20 % des Firebox qui fournissent des données pour ce rapport ont activé le déchiffrement, le constat prouve que la grande majorité des logiciels malveillants ne sont pas détectés. L'activité des logiciels malveillants chiffrés est un thème récurrent dans les récents rapports de Threat Lab.

« Une tendance constante et préoccupante dans nos données et nos recherches montre que le chiffrement ou, plus précisément, l'absence de déchiffrement au niveau du réseau, ne révèle pas l'image complète des tendances des attaques par les logiciels malveillants », a déclaré Corey Nachreiner, Chief Security Officer chez WatchGuard. « Il est essentiel que les professionnels de la sécurité activent l'inspection HTTPS pour s'assurer que ces menaces sont identifiées et traitées avant qu'elles ne fassent des dégâts. »

Parmi les autres résultats clés du rapport sur la sécurité Internet du quatrième trimestre 2022, on peut citer :

  • Les détections de ransomware sur les endpoints ont augmenté de 627%. Ce pic souligne la nécessité de mettre en place des défenses contre les ransomwares, telles que des contrôles de sécurité modernes pour une prévention proactive, ainsi que de bons plans de reprise après incident et de continuité des activités qui incluent la sauvegarde.

     
  • 93 % des logiciels malveillants se cachent derrière le chiffrement. Les recherches du Threat Lab continuent d'indiquer que la plupart des logiciels malveillants se cachent dans le chiffrement SSL/TLS utilisé par les sites web sécurisés. Ce quatrième trimestre confirme cette tendance avec une augmentation de 82 % à 93 %. Les professionnels de la sécurité qui n'inspectent pas ce trafic passent probablement à côté de la plupart des logiciels malveillants et font peser une plus grande responsabilité sur la sécurité des endpoints pour les détecter.

     
  • Les détections de logiciels malveillants qui ciblent les réseaux ont chuté d'environ 9,2 % d'un trimestre à l'autre au cours du quatrième trimestre. Cette évolution s'inscrit dans le prolongement d'une baisse générale des détections de logiciels malveillants au cours des deux derniers trimestres. Toutefois, comme nous l'avons mentionné, les logiciels malveillants sont en hausse si l'on tient compte du trafic Web chiffré. L'équipe du Threat Lab estime que cette tendance à la baisse n'illustre peut-être pas l'ensemble de la situation et a besoin de davantage de données tirant parti de l'inspection HTTPS pour confirmer cette affirmation.

     
  • Les détections de logiciels malveillants au niveau des endpoints a augmenté de 22 %. Alors que les détections de logiciels malveillants sur le réseau ont chuté, les détections de ces derniers sur les endpoints ont augmenté au quatrième trimestre. Cela confirme l'hypothèse de l'équipe du Threat Lab selon laquelle les logiciels malveillants transitent de plus en plus par le trafic chiffré. Au niveau du endpoint, le chiffrement TLS est moins important car le navigateur doit le déchiffrer pour que le logiciel de Threat Lab dédié au endpoint puisse l’examiner. Parmi les principaux vecteurs d'attaque, la plupart des détections sont associées à des scripts et représentent 90 % de l'ensemble des détections. Dans les détections de malware dans les navigateurs, les attaquants ont surtout ciblé Internet Explorer, avec 42 % des détections, suivi de Firefox, avec 38 %.

     
  • Les logiciels malveillants de type "zero day" ou évasifs sont tombés à 43 % dans le trafic non chiffré. Bien qu'il s'agisse toujours d'un pourcentage important dans l'ensemble des détections de logiciel malveillant, c'est le plus faible que l'équipe du Threat Lab ait observé depuis des années. Cela dit, la situation change du tout au tout lorsqu'on examine les connexions TLS. 70 % des logiciels malveillants utilisant des connexions chiffrées échappent aux signatures.

     
  • Les campagnes de phishing se sont multipliées. Trois des variantes de logiciels malveillants figurant dans le Top 10 du rapport contribuent à diverses campagnes de phishing. La famille de logiciels malveillants la plus détectée, JS.A gent.UNS, contient du code HTML malveillant qui dirige les utilisateurs vers des domaines à l'apparence légitime qui se font passer pour des sites web bien connus. Une autre variante, Agent. GBPM, crée une page de phishing SharePoint intitulée "PDF Salary_Increase", qui tente d'accéder aux informations de compte des utilisateurs. La dernière nouvelle variante du top 10, HTML.Agent.WR, ouvre une fausse page de notification DHL en français avec un lien de connexion qui mène à un domaine de phishing connu. L'hameçonnage et la corruption des courriers électroniques professionnels (BEC) restent l'un des principaux éléments d'attaque. Veillez donc à mettre en place des défenses préventives adaptées et des programmes de formation à la sensibilisation à la sécurité pour vous défendre contre ces attaques.

     
  • Les exploits ProxyLogin continuent de se multiplier. Un exploit pour ce problème « Exchange » bien connu et critique est passé de la huitième place au troisième trimestre à la quatrième place au dernier trimestre. Il devrait être corrigé depuis longtemps, mais si ce n'est pas le cas, les professionnels de la sécurité doivent savoir que les attaquants le ciblent. Les anciennes vulnérabilités peuvent être aussi utiles aux attaquants que les nouvelles, s'ils parviennent à les utiliser. En outre, de nombreux attaquants continuent de cibler les serveurs ou les systèmes de gestion Microsoft Exchange. Les organisations doivent en être conscientes et savoir où concentrer leurs efforts pour défendre ces domaines.
  • Le nombre d'attaques de réseaux reste stable d'un trimestre à l'autre avec une augmentation de 0,0015 %. Cette légère variation est remarquable car il s’agit de la plus faible depuis le 2e trimestre 2020.
  • LockBit reste un groupe de ransomware et une variante de logiciels malveillants très répandus. L'équipe du Threat Lab continue de voir régulièrement des variantes de LockBit ; ce groupe semble avoir le plus de succès en pénétrant dans les entreprises (par l'intermédiaire de leurs affiliés) avec des ransomwares. Bien qu'en baisse par rapport au trimestre précédent, LockBit a de nouveau été à l’origine du plus grand nombre de victimes d'extorsion publique, avec 149 personnes suivies par le WatchGuard Threat Lab (contre 200 au troisième trimestre). Toujours au quatrième trimestre, l'équipe du Threat Lab a détecté 31 nouveaux groupes de ransomware et d'extorsion.

Les rapports de recherche trimestriels de WatchGuard sont basés sur des données anonymes de Firebox Feed provenant de WatchGuard Firebox, dont les propriétaires ont choisi de partager les données afin de soutenir directement les efforts de recherche du Threat Lab. L'approche plateforme de sécurité unifiée (Unified Security Platform®) de l'éditeur est conçue de manière unique pour les fournisseurs de services managés afin d'offrir une sécurité avancée. Au quatrième trimestre 2022, WatchGuard a bloqué un total de plus de 15,7 millions de variantes de logiciels malveillants (194 par appareil) et plus de 2,3 millions de menaces réseau (28 par appareil). Le rapport complet comprend des détails sur d'autres tendances en matière de logiciels malveillants et de réseaux au quatrième trimestre, des stratégies de sécurité recommandées, des conseils de défense essentiels pour les entreprises de toutes tailles et de tous secteurs, et bien plus encore.

Pour un aperçu plus approfondi de l'étude de WatchGuard, lisez le rapport complet sur la sécurité Internet pour le quatrième trimestre 2022.

A propos de WatchGuard Technologies, Inc.

WatchGuard® Technologies, Inc. est un leader mondial de la cybersécurité unifiée. Notre Unified Security Platform® est pensée pour les fournisseurs de services managés afin d’assurer une sécurité de pointe augmentant l’évolutivité et la vélocité de leur entreprise tout en améliorant leur efficacité opérationnelle. Recommandés par plus de 17 000 revendeurs et prestataires de services spécialisés dans la sécurité et adoptés par plus de 250 000 clients, les produits et services primés de WatchGuard mettent en lumière des solutions d’intelligence et de sécurité réseau, de protection avancée des endpoints, d’authentification multifacteur et de Wi-Fi sécurisé. Ensemble, ils offrent les cinq éléments essentiels d’une plateforme de sécurité : sécurité complète, intelligence collective, clarté et contrôle, alignement opérationnel et automatisation. La société a établi son siège social à Seattle, dans l’État de Washington, et possède des bureaux dans toute l’Amérique du Nord, en Europe, en Asie-Pacifique et en Amérique latine. Pour en savoir plus, rendez-vous sur le site WatchGuard.com/fr.

Vous pouvez aussi suivre WatchGuard sur les réseaux sociaux : Twitter et LinkedIn. Et suivre le blog de WatchGuard : Secplicity, pour des informations en temps réel sur les dernières menaces ou vous abonner au podcast The 443 - Security Simplified.

WatchGuard est une marque commerciale déposée de WatchGuard Technologies, Inc. Toutes les autres marques sont la propriété de leurs détenteurs respectifs.