De nombreuses demandes soumises sous forme de lien ou de fichier vers le portail Kaspersky Threat Intelligence s'avèrent être des chevaux de Troie (25 %), des portes dérobées (24 %) et des droppers de chevaux de Troie (23 %).
Près des trois quarts (72 %) des fichiers malveillants analysés soumis via la version gratuite de Kaspersky Threat Intelligence Portal étaient des chevaux de Troie, des portes dérobées ou des droppers. L'analyse des données soumises montre également que les types de logiciels malveillants les plus fréquemment étudiés par les chercheurs ne sont pas nécessairement les plus répandus.
La détection d'activités malveillantes n'est que le point de départ pour enquêter sur une attaque. Pour développer des réponses et des mesures correctives, les analystes de la sécurité doivent identifier la cible d'une attaque, l'origine d'un objet malveillant, sa popularité, etc. Le portail Kaspersky Threat Intelligence aide les analystes à rechercher ces antécédents.
Les experts de Kaspersky ont étudié les requêtes adressées gratuitement au Kaspersky Threat Intelligence Portal entre novembre 2019 et mai 2020 pour déterminer à quelles menaces les objets malveillants traités par le portail sont le plus souvent associés. Dans la plupart des cas, les hachages soumis ou les fichiers téléchargés suspects se sont avérés être des chevaux de Troie (25 % des demandes), des portes dérobées (24 %) - des logiciels malveillants qui permettent à un attaquant de contrôler à distance un ordinateur - et des trojan droppers (23 %), les autres installent objets malveillants. Les statistiques du Kaspersky Security Network [3], qui analyse les données liées à la cybersécurité partagées par des millions de participants volontaires dans le monde, montrent que les chevaux de Troie sont également généralement le type de malware le plus répandu. Les portes dérobées et les droppers de chevaux de Troie, en revanche, ne sont pas aussi courants - ils ne représentent respectivement que 7 et 3 % de tous les fichiers malveillants bloqués par les solutions pour terminaux Kaspersky.
Détection précoce versus analyse
Cette différence peut s'expliquer par le fait que les chercheurs en sécurité s'intéressent souvent davantage à la cible finale de l'attaque, tandis que les solutions pour terminaux tentent d'empêcher une attaque à un stade précoce. Par exemple, ils ne permettent pas à un utilisateur d'ouvrir des e-mails malveillants ou de suivre un lien malveillant, empêchant les portes dérobées de compromettre l'ordinateur de l'utilisateur. Cependant, les analystes de sécurité doivent identifier tous les composants d'un compte-gouttes.
Cela s'explique aussi par l'intérêt porté à certaines menaces et l'envie des chercheurs de les analyser de plus près. Par exemple, lorsque de nombreux messages sur Emotet sont apparus plus tôt dans l'année, de nombreux utilisateurs ont activement recherché des informations sur ce programme malveillant. Un certain nombre de demandes concernaient également les portes dérobées pour les systèmes d'exploitation Linux et Android. Ces familles de logiciels malveillants intéressent les chercheurs en sécurité, mais leur nombre est relativement faible par rapport aux menaces ciblant Microsoft Windows.
De nombreux chevaux de Troie dans l'analyse
« Nous avons constaté que le nombre de demandes gratuites adressées au portail Kaspersky Threat Intelligence pour analyser les virus ou les morceaux de code qui compromettent d'autres programmes est très faible - moins de XNUMX % », commente Denis Parinov, responsable par intérim de la surveillance des menaces et de la détection heuristique chez Kaspersky. . « Cependant, d'après l'expérience, ce sont parmi les menaces les plus répandues détectées par les solutions de terminaux. Ceux-ci se répliquent et implémentent leur code dans d'autres fichiers, ce qui peut entraîner l'apparition d'un grand nombre de fichiers malveillants sur un système infecté. Comme nous pouvons le voir, les virus intéressent rarement les chercheurs, probablement parce qu'ils manquent d'élément de nouveauté par rapport à d'autres menaces.
Le portail Kaspersky Threat Intelligence donne accès aux données Threat Intelligence de l'entreprise et met à disposition toutes les informations et informations sur les cyberattaques que Kaspersky a collectées depuis plus de 20 ans. Un accès gratuit à certaines fonctionnalités permettant aux utilisateurs de vérifier les fichiers, les URL et les adresses IP est disponible sur https://opentip.kaspersky.com/.
Allez sur Kaspersky.com pour l'analyse
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/