pour diffuser les maliciels.
L’évolution des méthodes des cybercriminels, marquée par l’utilisation croissante de services web légitimes et de fichiers infectés comme vecteurs d’attaque, souligne la nécessité pour les entreprises et les particuliers d’adopter des stratégies de défense qui couvrent tous les angles morts.
L’étude menée dans le rapport WatchGuard sur la sécurité d’Internet au troisième trimestre 2024 dresse un état des lieux des principales menaces qui pèsent sur les infrastructures numériques. Ce rapport met en évidence les tendances émergentes en matière de cyberattaques, notamment la hausse spectaculaire des maliciel ciblant les points terminaux, qui ont augmenté de 300 % en seulement un trimestre. Ainsi que l’évolution des méthodes des cybercriminels, marquée par l’utilisation croissante de services web légitimes et de fichiers infectés comme vecteurs d’attaque.
Des techniques plus discrètes
Le rapport met aussi en évidence une baisse de 15 % des détections de maliciels réseau, ce qui souligne une migration des attaques vers les appareils connectés. Par ailleurs, les détections par IntelligentAV (analyse basée sur l’IA) ont chuté de 42 %, tandis que celles par APT Blocker (protection contre les attaques avancées) ont baissé de 64 %. Ces chiffres montrent que les attaquants déploient moins de maliciels sophistiqués au niveau du réseau, privilégiant des techniques plus discrètes et difficiles à détectersur les points terminaux.
L’augmentation de 300 % des maliciels ciblant les endpoints en Q3 2024 met en évidence une mutation profonde du paysage de la cybersécurité. Selon le rapport WatchGuard, cette hausse spectaculaire marque une rupture avec les tendances habituelles, où les détections de maliciels au niveau du réseau et des points terminaux évoluaient de manière relativement similaire. Ce chiffre témoigne d’un changement majeur dans les tactiques des cybercriminels, qui exploitent de plus en plus les appareils distants comme point
d’entrée préféré.
Plus de 52 % des maliciels ont transité par TLS
L’un des facteurs expliquant cette explosion est l’utilisation accrue de fichiers OneNote malveillants. Face au durcissement des politiques de Microsoft bloquant les macros dans Word et Excel, les attaquants ont migré vers d’autres formats de fichiers plus permissifs.« Plusieurs des principales menaces par volume ont utilisé des fichiers OneNote malveillants pour diffuser QBot. » Cette évolution montre que les cybercriminels s’adaptent rapidement aux nouvelles mesures de sécurité en exploitant des failles encore peu surveillées.
L’utilisation des connexions chiffrées pour masquer ces menaces constitue un autre élément clé de cette tendance. Plus de 52 % des maliciels détectés ont transité par des connexions chiffrées TLS, ce qui complique leur détection par les solutions de sécurité traditionnelles. Cela « souligne encore davantage l’importance de l’inspection HTTPS au niveau du périmètre réseau dans une défense en couches », estiment les rédacteurs du rapport. Ce chiffre révèle la nécessité pour les entreprises de renforcer leur capacité à inspecter le trafic HTTPS, sous peine de laisser passer une part importante des attaques.
Une prolifération de RAT
Par ailleurs, les cybercriminels exploitent massivement des sites web compromis pour distribuer leurs charges malveillantes. Le site malveillant le plus bloqué en Q3 2024, polyfill.io, a accumulé près de 30 fois le volume de détections des autres domaines malveillants combinés, illustrant l’ampleur des attaques via la chaine d’approvisionnement. Les sites WordPress piratés sont aussi largement utilisés pour diffuser des logiciels malveillants déguisés en mises à jour de navigateur. « Les attaquants ont utilisé des sites WordPress compromis pour diffuser SocGholish, un téléchargeur de malware qui se fait passer pour une fausse mise à jour de navigateur. » Cette technique, qui repose sur l’ingénierie sociale, est particulièrement efficace pour tromper les utilisateurs et compromettre leurs systèmes.L’un des aspects les plus inquiétants de ce trimestre est la prolifération des chevaux de Troie d’accès distant (RAT), notamment Remcos. Trois des menaces les plus répandues détectées sur les points terminaux avaient pour objectif final d’installer ce maliciel, signe d’une campagne d’ampleur visant à prendre le contrôle des machines infectées. Ce type d’attaque, qui permet aux hackers d’exfiltrer des données et de contrôler les systèmes à distance, est particulièrement nocif.
Face à ces évolutions alarmantes, WatchGuard insiste sur l’importance d’une approche de sécurité multicouche et proactive. Pour contrer cette menace croissante, le rapport recommande plusieurs actions essentielles : améliorer l’inspection du trafic HTTPS, adopter des solutions de détection basées sur l’intelligence artificielle et sensibiliser les utilisateurs aux nouvelles méthodes d’attaque. L’évolution rapide des cybermenaces exige une vigilance constante et une adaptation continue des stratégies de protection. Seule une approche intégrée et anticipative permettra de faire face à cette explosion des attaques sur les points terminaux et de limiter leur impact sur les organisations.
