Communiqué de presse
déc
06

Le rapport du Threat Lab de WatchGuard révèle une augmentation du nombre d’acteurs malveillants exploitant les logiciels d’accès à distance

Les principales conclusions de l’étude font également état d’une augmentation de 89 % du nombre d’attaques de ransomware sur les endpoints et d’une diminution du nombre de malwares transmis par le biais de connexions chiffrées.

PARIS – 6 décembre 2023 – WatchGuard® Technologies, leader mondial de la cybersécurité unifiée, publie les conclusions de son dernier rapport sur la sécurité Internet, détaillant les principales tendances en matière de malwares et de menaces pour la sécurité des réseaux et des endpoints, analysées par les chercheurs du Threat Lab de WatchGuard. 

Les principales conclusions tirées des données révèlent une augmentation des cas d’utilisation abusive des logiciels d’accès à distance, la montée en puissance des cyberattaquants qui utilisent des voleurs de mots de passe et de données pour s’emparer d’informations d’identification précieuses, et le recours par les acteurs malveillants non plus à des scripts, mais à des techniques de type « living off the land » pour lancer une attaque sur les endpoints.

« Les acteurs malveillants emploient sans cesse de nouveaux outils et méthodes pour mener leurs campagnes d’attaque. Il est donc essentiel que les entreprises se tiennent au courant des dernières tactiques afin de renforcer leur stratégie de sécurité », souligne Corey Nachreiner, Chief Security Officer chez WatchGuard. « Les plateformes de sécurité modernes, qui intègrent des pare-feux et des logiciels de protection des endpoints, peuvent renforcer la protection des réseaux et des appareils. En revanche, lorsque les attaques font appel à des tactiques d’ingénierie sociale, l’utilisateur final représente la dernière ligne de défense pour empêcher les acteurs malveillants de s’infiltrer dans les entreprises. Il est important que celles-ci dispensent une formation sur l’ingénierie sociale et adoptent une approche de sécurité unifiée mettant en place des couches de défense pouvant être administrées efficacement par des fournisseurs de services managés. »

Parmi les principales conclusions, le dernier rapport sur la sécurité Internet basé sur des données du troisième trimestre 2023 révèle les éléments suivants :

  • Les acteurs malveillants utilisent de plus en plus d’outils et de logiciels de gestion à distance pour contourner la détection des malwares, ce que le FBI et la CISA ont tous deux reconnu. En étudiant les principaux domaines du phishing, le Threat Lab a par exemple observé une escroquerie à l’assistance technique qui conduisait la victime à télécharger une version préconfigurée et non autorisée de TeamViewer, ce qui permettait au pirate d’accéder à distance à l’intégralité de son ordinateur.
     
  • Une variante du ransomware Medusa fait son apparition au troisième trimestre, entraînant une augmentation de 89 % du nombre d’attaques de ransomwares sur les endpoints. De prime abord, les détections de ransomwares sur les endpoints semblent avoir diminué au cours du troisième trimestre. Pourtant, la variante du ransomware Medusa, qui figure pour la première fois dans le Top 10 des menaces liées aux malwares, a été détectée à l’aide d’une signature générique provenant du moteur de signatures automatisé du Threat Lab. Si l’on tient compte des détections de Medusa, les attaques par ransomware ont augmenté de 89 % d’un trimestre par rapport à l’autre.
     
  • Les acteurs malveillants cessent d’utiliser des attaques basées sur des scripts et recourent de plus en plus à d’autres techniques de type « living off the land ». Le vecteur d’attaque que constituent les scripts malveillants a connu une baisse de 11 % au troisième trimestre, après avoir chuté de 41 % au deuxième trimestre. Cependant, les attaques basées sur des scripts restent le vecteur d’attaque le plus important, représentant 56 % du total des attaques. Par ailleurs, les langages de script tels que PowerShell sont souvent utilisés dans les attaques de type « living off the land ». Les binaires Windows « living off the land » ont, quant à eux, augmenté de 32 %. Selon les chercheurs de Threat Lab, ces résultats indiquent que les acteurs malveillants continuent d’utiliser de multiples techniques « living off the land », probablement pour faire face au renforcement des protections autour de PowerShell et d’autres scripts. Les attaques de type « living off the land » sont les plus fréquentes en ce qui concerne les endpoints.
     
  • Le pourcentage de malwares transmis par le biais de connexions chiffrées est tombé à 48 %, ce qui signifie qu’un peu moins de la moitié de tous les malwares détectés provenaient d’un trafic chiffré. Ce résultat mérite d’être souligné, car il est en net recul par rapport aux trimestres précédents. Dans l’ensemble, le nombre total de détections de malwares a augmenté de 14 %.
     
  • Une famille d’injecteurs transmis par courrier électronique et délivrant des fichiers malveillants occupe quatre des cinq premières places dans le classement des détections de malwares chiffrés au cours du troisième trimestre. Toutes les variantes du Top 5, sauf une, contenaient la famille d’injecteurs appelée Stacked, qui se déguise en pièce jointe lors d’une tentative de phishing par courrier électronique. Les acteurs malveillants envoient des courriers électroniques contenant des pièces jointes malveillantes qui semblent provenir d’un expéditeur familier et prétendent joindre une facture ou un document important à consulter, leur but étant d’inciter les utilisateurs finaux à télécharger des malwares. Deux des variantes de Stacked (Stacked.1.12 et Stacked.1.7) figurent également dans le Top 10 des détections de malwares.
     
  • Les malwares standardisés font leur apparition. Parmi les principales menaces liées aux malwares, une nouvelle famille, Lazy.360502, figure dans le Top 10. Elle diffuse la variante de logiciel publicitaire 2345explorer ainsi que le voleur de mot de passe Vidar. Ce malware était connecté à un site web chinois qui fournissait un voleur d’informations d’identification et semblait fonctionner comme un « voleur de mots de passe à la demande ». Les acteurs malveillants pouvaient acheter des informations d’identification volées, ce qui illustre la façon dont les malwares standardisés sont utilisés.
     
  • Les attaques de réseaux sont en hausse de 16 % au troisième trimestre. Elles ont principalement visé la vulnérabilité ProxyLogon, soit 10 % de l’ensemble des détections de réseau.
     
  • Trois nouvelles signatures figurent dans le Top 50 des attaques de réseaux. Parmi elles, une vulnérabilité de la passerelle Common Gateway Interface PHP Apache datant de 2012 qui entraînerait un débordement de la mémoire tampon. Nous retrouvons également une vulnérabilité de Microsoft .NET Framework 2.0 datant de 2016, qui pouvait entraîner une attaque par déni de service. Nous pouvons encore citer une vulnérabilité d’injection SQL du système de gestion de contenu open-source Drupal, datant de 2014. Cette vulnérabilité permet à des attaquants d’exploiter Drupal à distance sans avoir besoin de s’authentifier.
     

Conformément à l’approche de la Unified Security Platform® de WatchGuard et aux précédentes mises à jour de recherche trimestrielles du WatchGuard Threat Lab, les données analysées dans ce rapport trimestriel sont basées sur des renseignements anonymes et agrégés sur les menaces. Ces données sont collectées à partir des produits WatchGuard actifs pour le réseau et les endpoints, avec le consentement des propriétaires qui choisissent de partager leurs données pour soutenir directement les efforts de recherche de WatchGuard.

Pour plus d’informations sur les recherches de WatchGuard, consultez le rapport complet sur la sécurité Internet du troisième trimestre 2023.

A propos de WatchGuard Technologies, Inc.

WatchGuard® Technologies, Inc. est un leader mondial de la cybersécurité unifiée. Notre Unified Security Platform® est pensée pour les fournisseurs de services managés afin d’assurer une sécurité de pointe augmentant l’évolutivité et la vélocité de leur entreprise tout en améliorant leur efficacité opérationnelle. Recommandés par plus de 17 000 revendeurs et prestataires de services spécialisés dans la sécurité et adoptés par plus de 250 000 clients, les produits et services primés de WatchGuard mettent en lumière des solutions d’intelligence et de sécurité réseau, de protection avancée des endpoints, d’authentification multifacteur et de Wi-Fi sécurisé. Ensemble, ils offrent les cinq éléments essentiels d’une plateforme de sécurité : sécurité complète, intelligence collective, clarté et contrôle, alignement opérationnel et automatisation. La société a établi son siège social à Seattle, dans l’État de Washington, et possède des bureaux dans toute l’Amérique du Nord, en Europe, en Asie-Pacifique et en Amérique latine. Pour en savoir plus, rendez-vous sur le site WatchGuard.com/fr.

Vous pouvez aussi suivre WatchGuard sur les réseaux sociaux : Twitter et LinkedIn. Et suivre le blog de WatchGuard : Secplicity, pour des informations en temps réel sur les dernières menaces ou vous abonner au podcast The 443 - Security Simplified.

WatchGuard est une marque commerciale déposée de WatchGuard Technologies, Inc. Toutes les autres marques sont la propriété de leurs détenteurs respectifs.