La double extorsion est de plus en plus le mot clé dans les cas d’attaques de ransomwares. Les attaquants soumettent la victime à une double pression : soit elle paie pour que ses données soient décryptées, soit les attaquants publient les données. Ceci et bien plus encore dans le rapport sur la sécurité Internet de WatchGuard Threat Lab Q2/2023.
Le rapport sur la sécurité Internet du deuxième trimestre 2023 de WatchGuard Technologies met en évidence les principales tendances en matière de logiciels malveillants et les menaces pour la sécurité des réseaux et des points finaux. L'analyse réalisée par les chercheurs du WatchGuard Threat Lab a révélé, entre autres, que 95 % des logiciels malveillants sont transmis via des connexions cryptées. Informations complémentaires : bien qu'il y ait globalement moins de logiciels malveillants sur les points finaux, les campagnes correspondantes ont une portée plus large.
Attaques de double extorsion dans les ransomwares
Une évolution similaire peut être observée en ce qui concerne les ransomwares. Il y en avait moins en circulation au cours de la période considérée, mais les attaques individuelles visaient beaucoup plus souvent le cryptage et le vol de données. Les attaques dites de « double extorsion », dans lesquelles les entreprises sont soumises à un chantage non seulement en libérant des systèmes « piratés », mais également en publiant des données volées, sont désormais observées beaucoup plus fréquemment. Dans le même temps, les anciennes vulnérabilités logicielles restent un moyen populaire pour les attaquants.
« Les données analysées par notre Threat Lab pour le dernier rapport montrent que la fréquence des attaques de logiciels malveillants avancés fluctue et que les cybermenaces à multiples facettes évoluent constamment. Lutter efficacement contre ces menaces nécessite une vigilance constante et une approche de sécurité à plusieurs niveaux », a déclaré Corey Nachreiner, responsable de la sécurité chez WatchGuard. "Il n'y a pas UNE stratégie UNIQUE de la part des attaquants et certaines menaces présentent souvent des risques différents selon les moments de l'année. Les entreprises doivent donc toujours être sur leurs gardes et garder un œil sur la situation à tout moment. En outre, un concept de sécurité uniforme, complet et strict est important pour une protection optimale. Les fournisseurs de services gérés peuvent ici exploiter des atouts décisifs dans la mise en œuvre.
Principales conclusions du rapport WatchGuard sur la sécurité Internet Q2-2023
95 % des logiciels malveillants sont cachés derrière le chiffrement
Une grande partie des logiciels malveillants se cache derrière le cryptage SSL/TLS utilisé par les sites Web sécurisés. Les entreprises qui ne vérifient pas le trafic SSL/TLS au périmètre du réseau passent probablement à côté d’une énorme quantité de logiciels malveillants. De plus, la part des malwares Zero Day dans le volume total de malwares est tombée à 11 %, un niveau historiquement bas. Cependant, lors de l’examen des logiciels malveillants transmis via des connexions cryptées, des logiciels malveillants plus évasifs ont été détectés. Leur part est de 66 pour cent pour la période d’étude. Cela suggère que les attaquants diffusent encore principalement des logiciels malveillants particulièrement sophistiqués en utilisant le chiffrement.
Le volume global des logiciels malveillants sur les terminaux est en légère baisse, tandis que la prévalence des campagnes de logiciels malveillants augmente.
Les détections de logiciels malveillants sur les terminaux ont légèrement diminué de 8 % au deuxième trimestre par rapport au trimestre précédent. Cependant, si l’on examine la fréquence des attaques de logiciels malveillants sur les points finaux par occurrence sur 10 à 50 systèmes ou 100 systèmes ou plus, le volume a augmenté respectivement de 22 et 21 pour cent. Cela suggère que les campagnes de malwares les plus répandues ont particulièrement augmenté entre le premier et le deuxième trimestre.
Les attaques de double extorsion par des groupes de ransomwares augmentent de 72 % par rapport au trimestre précédent
Dans le cadre de l’analyse, le Threat Lab a découvert 13 nouveaux groupes d’extorsion. Bien que les attaques de double extorsion aient considérablement augmenté, les détections de ransomwares sur les terminaux ont chuté de 21 % d'un trimestre à l'autre et de 72 % d'une année sur l'autre.
Six nouvelles variantes de logiciels malveillants parmi les 10 principales détections de points finaux
Le Threat Lab a constaté une augmentation massive des hits liés à l’installateur 3CX compromis. Avec une part de 48 % du volume total, ce scénario de menace pertinent occupe la première place du top 10 des menaces de logiciels malveillants au deuxième trimestre. De plus, le cheval de Troie Glupteba a refait surface début 2023 après avoir largement disparu de la scène en 2021.
Les acteurs de la menace s'appuient sur LOLBAS pour diffuser des logiciels malveillants
Lors de l’analyse des vecteurs d’attaque et de la manière dont les acteurs de la menace accèdent aux points finaux, nous avons constaté une augmentation des attaques Living Off The Land Binaries And Scripts (LOLBAS). Il y a eu une augmentation de 29 pour cent des cas d'utilisation abusive des outils du système d'exploitation Windows tels que WMI et PSExec. Cela représente 17 % du volume total, tandis que les logiciels malveillants reposant sur des scripts tels que PowerShell ont diminué de 41 %. Les scripts restent le moyen le plus courant de propagation des logiciels malveillants, représentant 74 % des détections. Les exploits basés sur les navigateurs ont chuté de 33 pour cent et ont représenté 3 pour cent du volume total au deuxième trimestre de cette année.
Les cybercriminels continuent de cibler les anciennes vulnérabilités des logiciels
Les chercheurs du Threat Lab ont identifié trois nouvelles signatures basées sur des vulnérabilités plus anciennes dans les 10 principales attaques réseau au deuxième trimestre. L’une d’entre elles date de 2016 et est liée à la vulnérabilité d’un système de gestion de l’apprentissage open source mis hors service en 2018.
Domaines compromis sur les blogs WordPress et service de raccourcissement de liens
Lors de la recherche de domaines malveillants, l’équipe a trouvé, entre autres, des « sites Web autogérés » (par exemple des blogs WordPress) et un raccourcisseur d’URL. Ceux-ci ont été compromis et utilisés comme hôtes pour des logiciels malveillants ou des systèmes de commande et de contrôle de logiciels malveillants. En outre, le WatchGuard Threat Lab a découvert un site Web infiltré par le gang Qakbot lors d'un concours éducatif dans la région Asie-Pacifique, qui dissimulait l'infrastructure de commande et de contrôle du botnet.
Toutes les informations sont basées sur le concept de WatchGuard Unified Security Platform et sont conformes aux évaluations trimestrielles précédentes sur les données anonymisées et agrégées de toutes les solutions actives de protection des réseaux et des points finaux WatchGuard dont les propriétaires ont accepté de partager les informations sur les menaces pour soutenir les travaux de recherche du Threat Lab. .
Dans le cadre de l'actuel rapport sur la sécurité Internet, les méthodes de l'équipe Threat Lab, mises à jour depuis l'édition précédente, sont à nouveau utilisées pour normaliser, analyser et présenter les résultats du rapport. Les résultats de sécurité du réseau sont présentés sous forme de moyennes par appareil. Il existe également des évaluations avancées concernant les attaques réseau et les logiciels malveillants au niveau du point final.
Plus sur WatchGuard.com
À propos de WatchGuard WatchGuard Technologies est l'un des principaux fournisseurs dans le domaine de la sécurité informatique. Le vaste portefeuille de produits s'étend des plates-formes UTM (Unified Threat Management) hautement développées et des plates-formes de pare-feu de nouvelle génération à l'authentification multifacteur et aux technologies pour une protection WLAN complète et une protection des terminaux, ainsi que d'autres produits spécifiques et services intelligents liés à la sécurité informatique. Plus de 250.000 XNUMX clients dans le monde entier font confiance aux mécanismes de protection sophistiqués au niveau de l'entreprise,