Selon le rapport WatchGuard, les attaques par malware sans fichier bondissent de près de 900 %. Les cryptomineurs sont de retour tandis que les attaques par ransomware reculent.
Dans son dernier rapport consacré au 4e trimestre 2020, WatchGuard (spécialisé dans la protection avancée des postes de travail) met notamment en avant une flambée des attaques ciblant les endpoints, une augmentation du nombre de malwares chiffrés ainsi que de nouveaux cas d’exploitation de vulnérabilités ciblant les appareils IoT.
Dans le détail, on apprend que :
- Les attaques par malware sans fichier (fileless malware) et les cryptomineurs ont progressé respectivement de 888 % et 25 %.
- Les charges utiles uniques de ransomware ont fortement baissé (-48 %) entre 2019 et 2020.
Les attaques viafileless malware peuvent s’avérer particulièrement dangereuses, car elles sont capables d’échapper au radar des protections classiques des endpoints chez les clients, et parce qu’elles peuvent arriver à leurs fins très simplement, en incitant par exemple les victimes à cliquer sur un lien malveillant ou à consulter à leur insu des sites Web compromis.
Des boîtes à outils telles que PowerSploit et CobaltStrike permettent aux attaquants d’injecter facilement du code malveillant dans des processus en fonctionnement, lequel code restera opérationnel même si les défenses
En outre, le Threat Lab de WatchGuard a découvert qu’au dernier trimestre 2020, les détections de malwares chiffrés ont augmenté de 41 % par rapport au trimestre précédent et que les attaques réseau ont atteint leurs plus hauts niveaux depuis 2018.
Baisse des attaques de type ransomware ou changement de cible…
Les cryptomineurs reviennent en force après l’accalmie de 2019. Suite à l’effondrement de presque toutes les cryptomonnaies début 2018, les infections par cryptomineur se sont depuis faites plus rares, jusqu’à atteindre le niveau le plus bas de détections de variantes uniques en 2019 (633).
Toutefois, les cybercriminels ont continué à ajouter des modules de cryptominage aux infections par botnet existantes. Ils soutirent à leurs victimes des revenus passifs tout en exploitant leurs réseaux pour commettre d’autres cybercrimes.
Avec ce procédé, et porté par la reprise du cours des cryptomonnaies au 4e trimestre 2020, le volume d’attaques par malware de cryptominage détectées a augmenté de 25 % par rapport à 2019, atteignant un niveau de 850 variantes uniques l’année dernière.
Plus surprenant, les attaques par ransomware continuent de reculer. Pour la 2e année d’affilée, le nombre de charges utiles uniques de ransomwares diminue en 2020, avec un total de 2 152 contre 4 131 en 2019 et 5 489 en 2018 (record historique).
Il s’agit là du nombre de variantes individuelles de ransomware qui ont pu infecter des centaines voire des milliers de endpoints dans le monde. Pour la plupart, elles ont été détectées grâce à des signatures mises en œuvre initialement en 2017 dans le but de repérer le logiciel malveillant WannaCry et ses variantes, ce qui montre que les tactiques de ransomworm continuent de se développer plus de 3 ans après l’entrée en scène de ce logiciel spécifique.
Attaques furtives
Le déclin régulier du volume des attaques par ransomware témoigne du changement de cap des cybercriminels : les campagnes incohérentes et généralisées font désormais place à des actions ultraciblées à l’encontre des organisations de santé, des entreprises industrielles ou d’autres victimes qui ne peuvent se permettre des temps d’arrêt dans leur activité.
Les attaques furtives par malware chiffré connaissent une croissance à deux chiffres. Si le volume d’attaques par malware est globalement en baisse depuis quatre trimestres, près de la moitié (47 %) des attaques détectées par WatchGuard au sein du périmètre réseau au cours du 4e trimestre étaient chiffrées.
De plus, les malwares introduits par le biais de connexions HTTPS ont progressé de 41 %, et les malwares Zero Day chiffrés (variantes qui contournent les signatures antivirus) de 22 % par rapport au 3e trimestre.
Enfin, les botnets ciblant les appareils IoT et les routeurs deviennent une menace prépondérante. Au 4e trimestre, le virus Linux. Generic (également appelé « The Moon ») a fait son entrée dans la liste des 10 principaux malwares détectés par WatchGuard.