WatchGuard analyse les attaques commerciales Adversary-in-the-Middle, les kits d'exploitation basés sur JavaScript et les logiciels malveillants liés à Gothic Panda dans l'Internet Security Report Q3 (ISR). Les plus grandes menaces n'étaient envoyées que via des connexions chiffrées HTTPS.
Juste avant la fin de l'année, WatchGuard Technologies a publié son dernier Internet Security Report (ISR). Dans ce document, les tendances les plus importantes en matière de logiciels malveillants ainsi que les méthodes d'attaque actuellement pertinentes sur les réseaux et les terminaux sont décrites en détail de la manière habituelle. Les conclusions des chercheurs du WatchGuard Threat Lab montrent que la principale menace de malware pour le troisième trimestre 2022 a été envoyée exclusivement via des connexions chiffrées.
Les attaquants exploitent HTTPS
Les attaques contre les systèmes ICS et SCADA ont également augmenté. Les joueurs sur ordinateur sont également à risque car une charge utile malveillante a été découverte dans un moteur de triche Minecraft. L'ISR contient également une variété d'autres informations et exemples de la situation de menace actuelle.
"Nous ne saurions trop insister sur l'importance d'inspecter les connexions HTTPS : les organisations doivent absolument activer la fonctionnalité de sécurité appropriée, même si cela nécessite des ajustements et des règles d'exception. Parce que la majorité des logiciels malveillants proviennent de HTTPS cryptés. Si ce vecteur d'attaque n'est pas contrôlé, les menaces de toutes sortes sont ouvertes », a déclaré Corey Nachreiner, directeur de la sécurité chez WatchGuard Technologies. « Il faudrait également accorder plus d'attention aux serveurs Exchange ou aux systèmes de gestion SCADA. Dès qu'un correctif est disponible pour ceux-ci, il est important d'appliquer cette mise à jour immédiatement et de mettre à jour l'application. Les attaquants profitent de toute entreprise qui n'a pas encore corrigé les vulnérabilités.
Principales conclusions du rapport sur la sécurité Internet du troisième trimestre
La grande majorité des logiciels malveillants proviennent de connexions cryptées
Bien que le logiciel malveillant Agent.IIQ se soit classé troisième dans la liste régulière des 2022 principaux logiciels malveillants pour la période de juillet à septembre 10, il s'est classé n°1 dans la gamme de logiciels malveillants chiffrés. Parce que toutes les détections Agent.IIQ ont été trouvées dans les connexions HTTPS. Comme le montrent les analyses, 82 % de tous les logiciels malveillants proviennent de connexions sécurisées, mais seulement 18 % ne sont pas chiffrés. Si le trafic HTTPS n'est pas inspecté sur le Firebox, il y a une forte probabilité qu'une grande partie du malware ne soit pas détectée. Dans ce cas, les entreprises ne peuvent qu'espérer qu'une protection efficace des terminaux est mise en œuvre pour avoir au moins une chance d'intercepter le malware ailleurs dans la soi-disant chaîne de cyber-kill.
Les systèmes ICS et SCADA continuent d'être des cibles populaires pour les attaques
Une nouveauté dans la liste des dix attaques de réseau les plus courantes au troisième trimestre 2022 est une attaque de type injection SQL, qui a frappé plusieurs fournisseurs à la fois. L'une de ces sociétés est Advantech, dont le portail WebAccess permet d'accéder aux systèmes SCADA sur une variété d'infrastructures critiques. Une autre attaque majeure au troisième trimestre, qui a également fait partie des 5 principales menaces réseau, a affecté le logiciel U.motion Builder de Schneider Electric, version 1.2.1 et antérieure. C'est une indication claire que les attaquants tentent toujours activement de compromettre les systèmes dans la mesure du possible.
Les vulnérabilités des serveurs Exchange continuent de poser un risque
La dernière vulnérabilité CVE (CVE-2021-26855) découverte par le Threat Lab affecte Microsoft Exchange Server Remote Code Execution (RCE) sur les serveurs sur site. Cette vulnérabilité RCE, qui a reçu un score CVE de 9,8, est connue pour être exploitée. La date et la gravité de cette vulnérabilité incitent également à s'asseoir et à prendre connaissance, car il s'agit d'une vulnérabilité exploitée par le groupe HAFNIUM. Alors que la plupart des serveurs Exchange concernés ont peut-être déjà été corrigés, certains sont encore vulnérables et à risque.
Les acteurs de la menace ciblant les utilisateurs de logiciels libres
Le cheval de Troie Fugrafa télécharge des logiciels malveillants qui injectent du code malveillant. Au troisième trimestre 3, les analystes de WatchGuard ont enquêté sur une variante trouvée dans un moteur de triche pour le jeu populaire Minecraft. Le fichier, qui a été principalement partagé sur Discord, prétend être le Minecraft Cheat Engine Vape V2022 Beta - mais ce n'est pas tout ce qu'il contient. Agent.FZUW partage certaines similitudes avec Variant.Fugrafa, mais au lieu d'être installé via un moteur de triche, le fichier lui-même semble contenir un logiciel piraté. Dans le cas spécifique, il y avait également des connexions à Racoon Stealer : Il s'agit d'une campagne de piratage de crypto-monnaie qui est utilisée pour voler des informations de compte à partir de services de crypto-monnaie.
Le malware LemonDuck est désormais plus qu'un cryptomineur
Bien que le nombre de domaines de logiciels malveillants bloqués ou suivis ait diminué au troisième trimestre 2022, il est facile de voir que le nombre d'attaques ciblant des utilisateurs peu méfiants reste élevé. Avec trois nouveaux ajouts à la liste des principaux domaines de logiciels malveillants - deux appartenant à d'anciens domaines de logiciels malveillants LemonDuck et le troisième faisant partie d'un domaine classifié Emotet - il y avait plus de nouveaux sites de logiciels malveillants que d'habitude. Cette tendance devrait continuer à s'intensifier en ce qui concerne le paysage de la crypto-monnaie, car les attaquants recherchent de nouvelles façons de tromper les utilisateurs. Une contre-mesure efficace est une protection active au niveau du DNS. Cela peut surveiller les systèmes des utilisateurs et empêcher les pirates d'introduire des logiciels malveillants ou d'autres problèmes graves dans l'entreprise.
Obfuscation JavaScript dans les kits d'exploitation
La signature 1132518 - un indicateur des attaques d'obfuscation JavaScript sur les navigateurs - était le seul nouvel ajout à la liste des signatures d'attaque réseau les plus courantes. JavaScript est depuis longtemps un vecteur d'attaque courant, et les cybercriminels utilisent systématiquement des kits d'exploitation basés sur JavaScript, notamment pour les attaques de malvertising et de phishing. À mesure que les défenses des navigateurs s'améliorent, les attaquants intensifient leurs efforts pour masquer le code JavaScript malveillant.
Anatomie des attaques normalisées de l'adversaire au milieu
L'authentification multifacteur (MFA) est indéniablement une mesure extrêmement importante dans le cadre de la sécurité informatique, mais ce n'est pas non plus une panacée. Le meilleur exemple en est la montée rapide et la commercialisation des attaques Adversary-in-the-Middle (AitM). L'enquête du Threat Lab montre comment les acteurs malveillants migrent vers des techniques AitM de plus en plus sophistiquées. Semblable à l'offre de ransomware en tant que service de plus en plus fréquentée, la sortie de la boîte à outils AitM appelée EvilProxy en septembre 2022 a considérablement réduit la barrière à l'entrée pour les attaques suffisamment sophistiquées. La seule façon de s'en défendre est de combiner outils techniques et sensibilisation des utilisateurs.
Famille de logiciels malveillants liés à Gothic Panda
Déjà dans le rapport du Threat Lab pour le deuxième trimestre 2022, le langage est tombé sur Gothic Panda - un groupe de cyberespionnage étroitement lié au ministère chinois de la Sécurité d'État. Fait intéressant, la liste des principaux logiciels malveillants chiffrés pour le troisième trimestre comprend une famille de logiciels malveillants appelée Taidoor, qui a non seulement été développée par Gothic Panda, mais n'a été utilisée que par des attaquants d'origine chinoise pertinente. Alors que les logiciels malveillants associés se sont généralement concentrés sur des cibles au Japon et à Taïwan jusqu'à présent, l'échantillon Generic.Taidoor analysé ciblait principalement des organisations en France - peut-être une indication claire d'une cyberattaque spécifique parrainée par l'État.
Nouveaux groupes de rançongiciels et d'extorsionnistes dans la nature
Désormais, le WatchGuard Threat Lab est encore plus dédié à la détection des initiatives de ransomware. À cette fin, les options de renseignement sur les menaces sous-jacentes ont été spécifiquement étendues. Au troisième trimestre 2022, LockBit est en tête de liste avec plus de 200 incidents pertinents - près de quatre fois plus que le groupe de rançongiciels Basta, qui était le deuxième dont on parlait le plus de juillet à septembre 2022.
Les rapports de recherche trimestriels de WatchGuard sont basés sur des données désidentifiées de Firebox Feed provenant de WatchGuard Firebox actifs dont les propriétaires ont choisi de partager des données en soutien direct des recherches du Threat Lab. Au troisième trimestre, WatchGuard a bloqué un total de plus de 17,3 millions de variantes de logiciels malveillants (211 par appareil) et plus de 2,3 millions de menaces réseau (28 par appareil). Le rapport complet détaille les autres tendances des logiciels malveillants et des réseaux pour le troisième trimestre 3, les stratégies de sécurité recommandées, les meilleurs conseils de défense pour les organisations de toutes tailles et de tous secteurs, et plus encore.
Plus sur WatchGuard.com
À propos de WatchGuard WatchGuard Technologies est l'un des principaux fournisseurs dans le domaine de la sécurité informatique. Le vaste portefeuille de produits s'étend des plates-formes UTM (Unified Threat Management) hautement développées et des plates-formes de pare-feu de nouvelle génération à l'authentification multifacteur et aux technologies pour une protection WLAN complète et une protection des terminaux, ainsi que d'autres produits spécifiques et services intelligents liés à la sécurité informatique. Plus de 250.000 XNUMX clients dans le monde entier font confiance aux mécanismes de protection sophistiqués au niveau de l'entreprise,