Le rapport trimestriel de WatchGuard sur l’activité malfaisante dans le cyberespace met en évidence les dangers des malwares chiffrés. Il revient également sur l’influence de la pandémie sur le paysage des menaces, le regain d’activité des cryptomineurs de Monero, sans oublier les logiciels malveillants les plus utilisés au cours de ces 3 mois, tels que Flawed-Ammyy et Cryxos. Les statistiques du rapport reposent sur les données anonymisées recueillies par les appliances WatchGuard, que leurs propriétaires ont accepté de partager, afin de soutenir les programmes de recherche du Threat Lab WatchGuard.
Pour la première fois, les experts de WatchGuard se sont intéressés aux données, et pourcentages, des malwares délivrés à travers des connexions HTTPS chiffrées. Au 1er trimestre 2020, 67 % des malwares ont été transmis via HTTPS. À défaut de disposer de solutions de sécurité capables d’inspecter le trafic chiffré, deux tiers des menaces entrantes passeront donc entre les mailles du filet. De plus, 72 % des malwares chiffrés sont classés comme nouveaux ou Zero Day. Autrement dit, aucune signature antivirus ne leur est associée et ils échapperont donc à la détection des systèmes de protection basés sur les signatures. « Ces résultats témoignent de la nécessité pour toute entreprise soucieuse de sa sécurité d’inspecter le trafic HTTPS et d’adopter des solutions avancées de détection et de réponse aux menaces basées sur le comportement », conseille le rapport.
De l’impératif de mettre en œuvre l’inspection HTTPS
« Certaines entreprises hésitent à mettre en place une inspection HTTPS en raison du surcroît de charge de travail qu’elle induit, mais nos données sur les menaces laissent clairement apparaître que la majorité des malwares sont transmis via des connexions chiffrées et qu’il n’est plus possible de faire l’impasse sur l’inspection de ce trafic », explique Corey Nachreiner, CTO de WatchGuard.
Voici les principales conclusions du rapport pour le premier trimestre 2020 :
- le cheval de Troie Cryxos occupe la troisième position dans le Top 5 des malwares chiffrés ainsi que la troisième place dans le palmarès des cinq malwares les plus répandus. Se présentant sous forme de facture jointe à un email, Cryxos invite l’utilisateur à saisir son email et son mot de passe, qui sont ensuite stockés. Flawed-Ammyy est une arnaque au faux support technique dans laquelle le cybercriminel se sert du logiciel de support Ammyy Admin pour accéder à distance à l’ordinateur de sa victime ;
- Les cryptomineurs Monero de plus en plus populaires. Cinq des dix principaux domaines à l’origine de la distribution de malwares au cours du premier trimestre (identifiés par le service de filtrage DNS de WatchGuard, DNSWatch) hébergeaient ou contrôlaient des cryptomineurs Monero. Ce pic soudain de popularité des cryptomineurs peut être tout simplement dû à leur utilité. L’ajout d’un module de cryptominage aux malwares est en effet un moyen simple pour les cybercriminels de générer des revenus ;
- Une vulnérabilité d’Adobe vieille de trois ans compte au nombre des principales attaques réseau. Un exploit d’Adobe Acrobat Reader, corrigé en août 2017, est apparu pour la première fois au premier trimestre dans la liste des principales attaques réseau. Le fait que cette vulnérabilité refasse surface plusieurs années après sa découverte et sa correction souligne l’importance d’une mise à jour régulière des systèmes et de l’application de correctifs.
- Impact du Covid-19. Le premier trimestre 2020 marque le début d’un changement drastique dans le paysage des cybermenaces induit par la pandémie de coronavirus : un nombre incalculable d’attaques a ainsi pris pour cible au cours de ces 3 mois la multitude d’individus contraints de passer en télétravail du jour au lendemain.
- Recul des infections par malware et des attaques réseau. Dans l’ensemble, les infections par malware ont baissé de 6,9 % et les attaques réseau de 11,6 % au premier trimestre, malgré une hausse de 9 % du nombre d’Appliances Firebox fournissant des données. Ces chiffres peuvent résulter du nombre moins élevé de cibles potentielles situées au sein du périmètre réseau traditionnel suite aux politiques de télétravail mises en place à l’échelle mondiale pendant la pandémie.
- La Grande-Bretagne et l’Allemagne fortement ciblées par des malwares très répandus. Elles ont été les principales cibles de la majorité des malwares les plus répandus au premier trimestre.