Le dernier rapport du Kaspersky Lab révèle une recrudescence des attaques liées à des botnets et des attaques DDoS, avec 22,6 % de ses utilisateurs français qui seraient infectés par plus de 25 millions de malware.

La routine, serions-nous tentés de dire à la lecture du premier rapport trimestriel 2018 du Kaspersky Lab. Il indique une recrudescence des attaques en lien avec de nouveaux et d'anciens botnets, une hausse de popularité des attaques DDoS d'amplification, et le retour des attaques DDoS de longue durée ou ‘multi-day’.

Les ordinateurs français sont largement infectés :

  • 22,6 % sont infectés par 25.395.261 malware hébergés sur le Web ;
  • 35 % sont infectés par 50.571.115 malwares hébergés en local (clé USB, CD, DVD, etc.) ;
  • 38.693.483 malwares ont été détectés sur les ordinateurs.

Ces chiffres placent la France à la quatrième place mondiale pour l’hébergement de malwares.

Kaspersky-trim1-2018

1Les tendances sur les attaques APT

En l’absence d’une véritable solution - le remplacement massif de matériel n’étant pas envisageable - les vulnérabilités Meltdown et Specter qui affectent différentes architectures et fournisseurs de processeurs commencent à faire l’objet de nouvelles techniques d’exploitation. Intel et AMD ont d’ailleurs confirmé que ces failles pourraient être exploitées pour l'escalade de privilèges et la persistance une fois qu'une cible a été compromise.

Les experts de Kaspersky ont également observé un intérêt croissant des attaquants dans le ciblage des routeurs et du matériel réseau. Les routeurs sont toujours une excellente cible pour les attaquants, et continueront à être utilisés de manière abusive afin de prendre pied dans l'infrastructure de la victime.

L'une des attaques les plus importantes du premier trimestre 2018 a été le programme malveillant des destructeurs olympiques, qui a touché plusieurs entreprises liées à l'organisation des Jeux Olympiques de Pyeongchang et à certaines installations olympiques. Il y a différents aspects de cette attaque à souligner, y compris le fait que les attaquants ont compromis les entreprises qui fournissaient des services à l'organisation des jeux afin d'y accéder, perpétuant ainsi la tendance dangereuse de la chaîne d'approvisionnement. Mais outre les considérations techniques, l'une des questions les plus ouvertes est liée à la perception générale selon laquelle les attaquants auraient pu faire beaucoup plus de mal qu'ils ne l'ont fait, ce qui a ouvert la voie à des spéculations sur le véritable but de l'attaque...

2Les tendances sur les attaques DDoS

Les cibles d'attaque restent largement les mêmes. Le profit est toujours le principal motif des attaques DDoS (le nombre d'attaques sur les entreprises en Russie à lui seul a doublé en 2017), bien que les attaques ‘commerciales’ de haut niveau n'aient pas été si nombreuses au cours du trimestre. Notons que lorsqu’il n'y at pas de demande de rançon signalée, le motif derrière l'attaque peut être supposé être lié à la concurrence. En raison de sa capacité et de son accessibilité relative, Memcached a été le tremplin pour les attaques parmi les plus médiatisées du dernier trimestre. Cependant, il pourrait s'avérer être une tendance de courte durée.

Les motivations politiques sont moins fréquentes, mais souvent plus visibles en raison de leur actualité. L'incident le plus emblématique de ces derniers temps a été la menace de saboter la cérémonie d'ouverture des Jeux olympiques d'hiver au début du mois de février, probablement à la suite d'une offensive DDoS. Même avant cela, à la fin du mois de janvier, le département de la Défense des États-Unis a repoussé un afflux de pourriels et, à la fin de mars, leurs homologues russes ont dû survivre à une attaque DDOS. En outre, les experts ont rapporté que le groupe nord-coréen The Reaper étendait sa portée. En dépit de ne montrer aucune activité de DDoS, il pourrait bientôt commencer à aller dans cette direction.

Une attaque DDoS contre les principales institutions financières aux Pays-Bas a d'abord été considérée comme politique, mais une inspection plus approfondie s'est révélée être un pur hooliganisme : la police néerlandaise a arrêté un jeune suspect pour avoir provoqué une semaine de chaos dans plusieurs banques. C’est la démonstration qu’une attaquer artisanale mais d’envergure reste toujours possible. Ainsi DDoS devient populaire en tant que moyen de vengeance personnelle. En Californie, par exemple, David Goodyear a été reconnu coupable d'avoir tenté de lancer une attaque DDoS contre un forum d'astronomie amateur après qu ce dernier l'a mis sur liste noire pour avoir utilisé un langage grossier…

Image d’entête 672323958 @ iStock nicescene