Le rapport sur la sécurité Internet de WatchGuard pour le quatrième trimestre 4 montre l'augmentation des rançongiciels sur les terminaux et la diminution des logiciels malveillants sur le réseau. L'analyse confirme que les connexions cryptées sont devenues la méthode de choix pour la propagation des logiciels malveillants.
Le dernier rapport WatchGuard sur la sécurité Internet (ISR) pour le quatrième trimestre 2022 montre à quel point les terminaux sont massivement au centre des attaques. Alors que le nombre de logiciels malveillants détectés sur le réseau diminue, les chercheurs du Threat Lab ont constaté une augmentation des ransomwares sur les terminaux - l'augmentation est stupéfiante de 627 %.
Plus de 600 % de ransomwares en plus sur les terminaux
🔎 1 : Rapport sur la sécurité Internet Q4/2022 (Image : WatchGuard).
Autre découverte clé : malgré la baisse générale des occurrences de logiciels malveillants, une concentration du trafic de données cryptées est évidente. Les appliances Firebox avec déchiffrement HTTPS (TLS/SSL) subissent beaucoup plus de tentatives que les Firebox qui n'utilisent pas le déchiffrement. Étant donné que ces derniers représentent 80 % de la population totale de l'étude, le nombre de logiciels malveillants non signalés ne doit pas être sous-estimé. Malheureusement, le sujet n'est pas nouveau pour Corey Nachreiner, Chief Security Officer chez WatchGuard : les tendances des attaques de logiciels malveillants se sont assombries. L'activation de l'inspection HTTPS est cruciale pour les professionnels de la sécurité. C'est le seul moyen de s'assurer que les menaces peuvent être identifiées et contrées avant qu'elles ne causent des dommages.
Les résultats les plus importants du rapport Q4 sur la sécurité Internet
Multiplication par six des ransomwares ciblant les endpoints
Cette augmentation considérable souligne la nécessité de défenses ciblées contre les ransomwares, telles que des contrôles de sécurité avancés pour une prévention proactive et des plans de sauvegarde éprouvés pour la reprise après sinistre et la continuité des activités.
93 % des logiciels malveillants sont cachés derrière le cryptage
Les recherches du WatchGuard Threat Lab continuent de montrer que la part du lion des logiciels malveillants se cache dans les chiffrements SSL/TLS utilisés par les sites Web sécurisés. Cette tendance s'est poursuivie au quatrième trimestre avec une augmentation de 82 % à 93 %. Les professionnels de la sécurité qui ne parviennent pas à filtrer ce trafic dans le cadre des contrôles de sécurité du réseau risquent de passer à côté de la majeure partie des logiciels malveillants et de s'appuyer encore plus sur les puissantes fonctionnalités de sécurité des terminaux.
Les logiciels malveillants basés sur le réseau ont diminué de 9,2 % en séquentiel
🔎 2 : Rapport sur la sécurité Internet Q4/2022 (Image : WatchGuard).
Cela poursuit la baisse générale des détections de logiciels malveillants au cours des deux derniers trimestres. Cependant, comme déjà mentionné, le trafic Internet crypté montre une image complètement différente. L'équipe Threat Lab pense que cette tendance à la baisse peut ne pas refléter toute la vérité et a besoin de plus de données provenant des connexions HTTPS examinées pour confirmer cette affirmation.
22 % de logiciels malveillants sur les terminaux en plus
Bien que moins de logiciels malveillants réseau aient été enregistrés, il y a eu plus de hits du côté de l'appareil final au quatrième trimestre. Cela confirme l'hypothèse de l'équipe Threat Lab selon laquelle les logiciels malveillants se déplacent de plus en plus vers des canaux cryptés. Au point de terminaison, les connexions TLS jouent un rôle moins important, car elles peuvent être déchiffrées par le navigateur et donc examinées par le logiciel de point de terminaison du laboratoire de menaces. La plupart des détections (90 %) étaient liées à des scripts. En termes de logiciels malveillants de navigateur, Internet Explorer est en tête avec 42 % du nombre total de tentatives de compromis détectées, suivi de Firefox avec 38 %.
Part des malwares zero-day ou évasifs dans le trafic non chiffré jusqu'à 43 %
Bien que cela représente toujours un pourcentage important du nombre total de détections de logiciels malveillants, il s'agit du plus bas que l'équipe Threat Lab ait observé depuis des années. Cependant, l'image change complètement lorsque l'on regarde les connexions TLS : ici, 70 % des logiciels malveillants sur les connexions cryptées ne sont pas détectés par les signatures.
Les campagnes de phishing se multiplient
🔎 3 : Rapport sur la sécurité Internet Q4/2022 (Image : WatchGuard).
Trois des variantes de logiciels malveillants figurant dans la liste des 10 principaux logiciels malveillants du rapport (certaines d'entre elles figurent également dans la liste des logiciels malveillants les plus répandus) prennent en charge diverses campagnes de phishing. La famille de logiciels malveillants la plus couramment détectée, JS.A gent.UNS, contient du code HTML malveillant. Cela redirige les utilisateurs vers des domaines à consonance légitime se faisant passer pour des sites Web bien connus. Une autre variante, Agent.GBPM, crée une page de phishing SharePoint intitulée "PDF Salary_Increase" qui tente de voler les informations de compte d'utilisateur.
La dernière nouvelle variante du top 10, HTML.Agent.WR, ouvre une fausse page de notification DHL en français avec un lien de connexion menant à un domaine de phishing connu. L'hameçonnage et la compromission des e-mails professionnels (BEC) restent parmi les principaux vecteurs d'attaque. Les entreprises doivent s'assurer qu'elles ont mis en place à la fois les bonnes mesures préventives et des programmes de formation de sensibilisation à la sécurité pour se protéger contre cela.
Les exploits ProxyLogin continuent de proliférer
Un exploit pour ce problème Exchange bien connu et critique est passé de la huitième place au troisième trimestre à la quatrième place au dernier trimestre dans le classement des menaces connexes. Cette vulnérabilité aurait dû être corrigée il y a longtemps. Si ce n'est pas encore le cas, les responsables de la sécurité doivent y porter une attention particulière. Parce que les anciennes vulnérabilités peuvent être tout aussi utiles comme tremplin pour les attaquants que les nouvelles. Fondamentalement, de nombreux attaquants continuent de cibler Microsoft Exchange Server ou les systèmes de gestion. Les entreprises doivent en être conscientes et savoir où elles ont des faiblesses en matière de défense.
Volume d'attaques réseau stable par rapport au trimestre précédent
Avec 35 attaques supplémentaires (une augmentation de 0,0015%), le changement sur ce front est à peine perceptible et le plus petit depuis longtemps.
Le danger du rançongiciel LockBit ou des logiciels malveillants est toujours présent
Le WatchGuard Threat Lab continue de rencontrer fréquemment des variantes de LockBit, sans doute en raison des antécédents de telles attaques. Bien que le nombre de victimes ait diminué par rapport au trimestre précédent, il représente toujours la majorité des incidents signalés publiquement - le WatchGuard Threat Lab dénombre un total de 149 cas (contre 200 au T3). De plus, 2022 nouveaux groupes de rançongiciels et d'extorqueurs ont été découverts au quatrième trimestre 31.
Les rapports de recherche trimestriels de WatchGuard sont basés sur des données anonymisées de Firebox Feed provenant de WatchGuard Firebox actifs dont les propriétaires ont consenti au partage de données pour soutenir les recherches du Threat Lab. Au quatrième trimestre, WatchGuard a bloqué un total de plus de 15,7 millions de variantes de logiciels malveillants (194 par appareil) et plus de 2,3 millions de menaces réseau (28 par appareil). Le rapport complet détaille les autres tendances en matière de logiciels malveillants et de réseau du quatrième trimestre 2022, les stratégies de sécurité recommandées, les principaux conseils de défense pour les organisations de toutes tailles et de tous secteurs, et plus encore.
Plus sur WatchGuard.com
À propos de WatchGuard WatchGuard Technologies est l'un des principaux fournisseurs dans le domaine de la sécurité informatique. Le vaste portefeuille de produits s'étend des plates-formes UTM (Unified Threat Management) hautement développées et des plates-formes de pare-feu de nouvelle génération à l'authentification multifacteur et aux technologies pour une protection WLAN complète et une protection des terminaux, ainsi que d'autres produits spécifiques et services intelligents liés à la sécurité informatique. Plus de 250.000 XNUMX clients dans le monde entier font confiance aux mécanismes de protection sophistiqués au niveau de l'entreprise,