Techno.

Les cybercriminels renforcent leurs intentions sur la scène mondiale politique et économique

Le rapport de sécurité du FortiGuard Labs révèle de nouvelles perspectives sur les échanges commerciaux mondiaux et des opérations de déstabilisation d'élections

Fortinet®, spécialiste de solutions globales, intégrées et automatisées de cybersécurité, annonce la publication du tout dernier rapport de sécurité trimestriel Global Threat Landscape.

Les données du 4eme trimestre 2019 montrent que les cybercriminels continuent à tirer parti de toutes les opportunités possibles sur l’ensemble de l’infrastructure digitale. D’autre part, ils capitalisent sur les réalités du monde politique et économique pour atteindre leurs objectifs.

Les tendances globales en témoignent : les chiffres de prévalence et de détection des menaces varient d’une région à l’autre. Pour autant, la sophistication et l’automatisation des attaques sont des caractéristiques communes à toutes les régions. Il est plus que jamais urgent d’adapter les bonnes pratiques de sécurité dans le monde, face à des menaces qui évoluent rapidement.

Pour davantage d’informations sur ce rapport, consultez le blog de Fortinet. Voici néanmoins les principaux enseignements de ce nouvel opus :

1) Un chaton pas si charmant que ça : nos recherches témoignent d’une activité mondiale significative associée à Charming Kitten, un groupuscule spécialisé dans les menaces APT (Advanced Persistent Threat) et lié à l’Iran. Active depuis 2014, cette entité est associée à de nombreuses campagnes de cyberespionnage. Son activité récente suggère que Charming Kitten participe désormais également aux perturbations de certaines élections, comme le souligne une série d’attaques sur des comptes emails associés à une campagne d’élections présidentielles. De plus, Charming Kitten semble utiliser de nouvelles tactiques, quatre précisément, pour piéger les victimes et les inciter à partager des informations sensibles.

2) Plus de risques de sécurité associés à l’IoT : les objets connectés continuent à subir l’assaut de logiciels d’exploit qui affectent des dispositifs aussi inattendus que les caméras IP sans fil. Cette situation est exacerbée lorsque des composants et logiciels sont embarqués au sein de dispositifs commercialisés sous différentes marques et, parfois, par différents constructeurs. Nombre de ces composants et services sont souvent programmés à l’aide d’un code logiciel pré-écrit et issu de sources différentes. Ces composants communs et ce code pré-écrit sont parfois vulnérables, ce qui explique que certaines vulnérabilités apparaissent dans de nombreux dispositifs. L’étendue de ces vulnérabilités, associée à l’incapacité de patcher simplement ces dispositifs, constitue un défi toujours plus important et révèle les difficultés à sécuriser la supply chain. L’absence de patchs, la prévalence des vulnérabilités dans certains dispositifs IoT et les tentatives observées d’intégrer des dispositifs dans des botnets IoT sont autant de réalités qui font que ces exploits affichent le troisième volume le plus important des évènements détectés par les filtres IPS sur ce trimestre.

3) Les menaces historiques aident les nouvelles menaces : les entreprises oublient parfois que les exploits et vulnérabilités n’ont pas vraiment de date d’expiration : les assaillants continueront à les utiliser tant qu’elles sauront faire leurs preuves. C’est précisément le cas d’EternalBlue. Ce malware a été adapté au fil du temps pour exploiter des vulnérabilités communes. Il est au cœur de nombreuses campagnes malveillantes, celles des ransomware WannaCry et NotPetya notamment. De plus, un patch a été proposé en mai dernier pour BlueKeep, une vulnérabilité qui, lorsqu’exploitée, agit comme un ver se propageant aussi rapidement que WannaCry et NotPetya. Désormais, c’est une nouvelle version d’EternalBlue Downloader Trojan qui est apparue le trimestre dernier pour exploiter la vulnérabilité BlueKeep. Fort heureusement, la version actuelle qui circule n’est pas totalement opérationnelle, son chargement causant un crash sur les systèmes ciblés. Mais en se penchant sur le cycle de développement traditionnel des malware, des cybercriminels déterminés sont susceptibles, dans un futur proche, de disposer d’une version fonctionnelle, et donc potentiellement dévastatrice de ce malware. Et tandis qu’un patch pour BlueKeep est disponible depuis mai dernier, les entreprises restent encore trop nombreuses à n’avoir pas mis à jour leurs systèmes vulnérables. L’intérêt actuel que les assaillants portent à EternalBlue et BlueKeep rappelle aux entreprises qu’il est essentiel de patcher et sécuriser leurs systèmes contre ces deux menaces.

4) De nouvelles perspectives sur le spam mondial : le spam continue à être une problématique majeure tant pour les particuliers que pour les entreprises. En associant le volume de spam qui transite entre les nations avec les ratios de spam émis/spam reçu, ce nouveau rapport dévoile une nouvelle perspective sur une problématique ancienne. La majorité du volume de spam semble suivre les tendances économiques et politiques. À titre d’exemple, les principaux “partenaires“ de spam des États-Unis sont la Pologne, la Russie, l’Allemagne, le Japon et le Brésil. De plus, en termes de volume de spam exporté depuis les régions géographiques, l’Europe de l’Est est le tout premier exportateur de spam dans le monde, suivi par les régions asiatiques. Les autres régions européennes présentent un ratio de spam négatif, en recevant davantage de spam qu’elles n’en émettent, ce qui est également le cas pour le continent américain et l’Afrique.

5) Pister les cybercriminels pour se préparer aux exactions à venir : l’analyse des chiffres IPS au sein d’une région révèle les ressources qui sont ciblées, mais aussi celles qui le seront potentiellement dans le futur, soit parce que le succès de ces attaques est suffisamment important, ou simplement parce que certaines régions hébergent davantage un type de technologie qu’un autre. Mais attention, cela n’est pas toujours le cas. Prenons l’exemple de la Chine, un pays qui accueille la grande majorité des environnements ThinkPHP, 10 fois plus que les États-Unis selon shodan.io. En prenant l’hypothèse que les entreprises patchent leur logiciel au même rythme dans chacun de ces deux pays, si un botnet se contente de tester la vulnérabilité des instances de ThinkPHP avant de déployer un exploit, le nombre de ces tentatives détectées serait bien supérieur sur la zone APAC. Cependant, les alertes IPS suite à un récent exploit n’ont été que 6% supérieures sur l’ensemble de la zone APAC par rapport à l’Amérique du Nord, ce qui laisse penser que ces botnets tentent d’exploiter toutes les instances de ThinkPHP qu’elles trouvent. De plus, en prenant en compte les détections de malware, la majorité des menaces ciblant les entreprises sont des macros VBA (Visual Basic for Applications), simplement parce que cette méthode reste efficace et produit des résultats. De manière générale, le nombre de détections pour des techniques d’exploit ne portant pas leurs fruits ne reste pas élevé bien longtemps. Notons qu’un nombre élevé de détections indique que des attaques sont en cours.

Derek Manky, Chief, Security Insights & Global Threat Alliances, FortiGuard Labs : « Dans la course à la cyberguerre, la communauté cybercriminelle détient un avantage clé : elle tire parti d’une carence marquée de compétences en cybersécurité, d’une surface d’attaque en expansion, et d’un effet de surprise basé sur l’ingénierie sociale pour berner des individus peu méfiants. Pour prendre une longueur d’avance sur des menaces toujours plus sophistiquées et automatisées, les entreprises sont invitées à défendre leur réseau en capitalisant sur les mêmes technologies et stratégies que celles des assaillants. Ceci implique d’adopter des plateformes intégrées qui tirent parti d’une veille sur les menaces riche, puissante et fondée sur l’IA et sur des playbooks de sécurité. C’est à ce titre qu’il devient possible de déployer une protection et une visibilité sur l’ensemble de l’infrastructure digitale. »



Booking.com

Booking.com
Tags

Laisser un commentaire

Articles similaires

Bouton retour en haut de la page
Fermer