WatchGuard Technologies a publié aujourd'hui son dernier rapport trimestriel sur la sécurité Internet (ISR), révélant les principales tendances en matière de logiciels malveillants et de menaces de sécurité réseau pour le troisième trimestre 2021. Le volume de ransomwares et malwares est particulièrement élevé par rapport à 2020.
Vitesse record des attaques par script sur les terminaux, les États-Unis dans le collimateur des attaques réseau et les connexions HTTPS sont désormais la norme pour les logiciels malveillants zero-day. À l'aide des données anonymisées du Firebox Feed, les chercheurs du WatchGuard Threat Lab ont utilisé les données anonymisées du Firebox Feed pour comprendre quelles cibles les attaquants ont principalement ciblées au cours de cette période : alors que le volume global d'attaques de logiciels malveillants périmétriques détectées a diminué par rapport aux sommets du trimestre précédent, c'est le cas pour les terminaux, le volume total de tous les incidents de l'année précédente avait déjà été atteint à la fin du troisième trimestre 2021 - les données du quatrième trimestre 4 étant toujours en attente. Une autre découverte a été qu'un pourcentage important de logiciels malveillants est toujours transporté via des connexions cryptées, une tendance qui se poursuit régulièrement depuis plusieurs trimestres.
Augmentation du nombre de logiciels malveillants par appareil
"Alors que le volume global des attaques réseau a légèrement diminué au troisième trimestre, le nombre de logiciels malveillants par appareil a augmenté pour la première fois depuis le début de la pandémie", a déclaré Corey Nachreiner, directeur de la sécurité chez WatchGuard. « En regardant l'année à ce jour dans son ensemble, l'environnement de sécurité reste difficile. Il est important pour les organisations de regarder au-delà des flux et reflux à court terme et des fluctuations saisonnières de certaines mesures et de se concentrer sur les tendances en cours affectant leur posture de sécurité. Un exemple clé est l'utilisation croissante de connexions cryptées pour les attaques de type « zero-day ». La plate-forme de sécurité unifiée WatchGuard offre une protection complète dans ce contexte. Cela permet de lutter de manière globale contre les diverses menaces auxquelles les entreprises sont exposées aujourd'hui.
Rapport WatchGuard Q3/2021 sur la sécurité Internet
Près de la moitié des malwares zero-day sont transmis via des connexions cryptées
Alors que le nombre total de malwares zero-day a augmenté de 67,2 points de pourcentage pour atteindre 31,6 % au troisième trimestre, les malwares diffusés via Transport Layer Security (TLS) sont passés de 47 % à XNUMX %. Un pourcentage global plus faible de zéro-days cryptés est généralement bienvenu dans ce contexte, mais il y a toujours lieu de s'inquiéter car de nombreuses entreprises ne décryptent toujours pas du tout ces connexions. En conséquence, ils n'ont pas suffisamment de visibilité sur la quantité de logiciels malveillants qui atteignent réellement leurs réseaux.
Les nouvelles versions de Microsoft Windows et Office introduisent de nouvelles vulnérabilités
Les vulnérabilités non corrigées des logiciels Microsoft sont des vecteurs d'attaque couramment utilisés.En plus des versions plus anciennes, les derniers produits de Redmond sont désormais également attaqués. Au troisième trimestre, CVE-2018-0802, qui exploite une vulnérabilité dans l'éditeur d'équations de Microsoft Office, s'est classé n°6 dans la liste des 10 principaux logiciels malveillants antivirus de passerelle de WatchGuard en volume. Ce malware était déjà apparu dans la liste des malwares les plus répandus au cours du trimestre précédent. De plus, deux injecteurs de code Windows (Win32/Heim.D et Win32/Heri) se sont classés respectivement 1er et 6e dans la liste des nuisibles les plus fréquemment détectés.
Les attaquants ciblaient de manière disproportionnée les Amériques - L'écrasante majorité des attaques de réseau au troisième trimestre visaient les Amériques (3%), suivies de l'Asie-Pacifique (APAC) à 64,5% et de l'Europe à 20%.
Le nombre total d'attaques réseau détectées est revenu à la normale, mais représente toujours un risque important
Après des trimestres consécutifs de croissance de plus de 20 %, le service de prévention des intrusions (IPS) de WatchGuard a détecté environ 4,1 millions d'attaques réseau uniques au cours du troisième trimestre. La baisse de 21% a ramené le volume aux niveaux du premier trimestre, qui étaient encore élevés par rapport à il y a un an. Ce changement ne signifie pas nécessairement que les attaquants ralentissent, mais qu'ils peuvent se concentrer sur des attaques plus ciblées.
Les 10 principales signatures d'attaques réseau sont responsables de la grande majorité des attaques
Sur les 4.095.320 81 10 accès IPS trouvés au troisième trimestre, les 10 premières signatures représentaient 1054837 %. En fait, il n'y avait qu'une seule nouvelle signature dans le top 2019 au troisième trimestre, "WEB Remote File Inclusion /etc/passwd" (1059160), qui cible les serveurs Web Microsoft Internet Information Services (IIS) plus anciens mais encore largement utilisés. Depuis le deuxième trimestre XNUMX, la signature XNUMX, une injection SQL, est en tête de liste.
Les attaques par script sur les terminaux se poursuivent à un rythme record
À la fin du troisième trimestre, AD360 Threat Intelligence et WatchGuard Endpoint Protection, Detection and Response (EPDR) de WatchGuard enregistraient déjà 2020 % de scripts d'attaque en plus qu'en 666 (qui a de nouveau enregistré une augmentation de XNUMX % d'une année sur l'autre). Les groupes de travail hybrides devenant la règle plutôt que l'exception, un périmètre fort ne suffit plus pour stopper les menaces. Les cybercriminels ciblent les points finaux de différentes manières, des exploits d'application aux attaques scriptées hors du terrain, où même ceux qui ont des connaissances limitées peuvent exécuter pleinement une charge utile de malware à l'aide d'outils de script comme PowerSploit, PowerWare et Cobalt Strike tout en étant capable pour contourner la détection de périphérique de base.
Même les domaines normalement sécurisés peuvent être compromis
Une faille de protocole dans le système de découverte automatique d'Exchange Server de Microsoft a permis aux attaquants de collecter des informations d'identification de domaine et de compromettre plusieurs domaines normalement approuvés. Dans l'ensemble, les Firebox WatchGuard ont bloqué 5,6 millions de domaines malveillants au troisième trimestre. Ceux-ci comprenaient plusieurs nouveaux domaines malveillants tentant d'installer des logiciels de cryptominage, d'enregistreur de frappe et de cheval de Troie d'accès à distance (RAT), ainsi que des domaines de phishing se faisant passer pour des sites SharePoint pour voler les informations d'identification Office365. Bien que le nombre de domaines bloqués ait diminué de 23 % par rapport au trimestre précédent, il est encore plusieurs fois supérieur au niveau du quatrième trimestre 4 (2020 million). Cela souligne l'importance pour les organisations de maintenir leurs serveurs, bases de données, sites Web et systèmes à jour avec les derniers correctifs. C'est le seul moyen de limiter les vulnérabilités que les attaquants peuvent exploiter.
Ransomware, ransomware, ransomware
Après une forte baisse en 2020, les attaques de ransomwares représentaient déjà 2021 % du volume de l'année dernière à la fin du mois de septembre 105 (comme WatchGuard l'avait prévu à la fin du trimestre précédent) et sont en passe d'atteindre 150 % une fois les données analysées. l'année entière. Les fournisseurs de ransomwares en tant que service tels que REvil et GandCrap abaissent encore la barre pour les criminels ayant peu ou pas de connaissances en programmation, fournissant l'infrastructure et les charges utiles de logiciels malveillants pour lancer des attaques dans le monde entier pour un pourcentage de la rançon.
Le principal incident de sécurité du trimestre, Kaseya, a été une preuve supplémentaire de la menace persistante des attaques de la chaîne d'approvisionnement numérique
Alors que le long week-end du 4 juillet commençait aux États-Unis, des dizaines d'entreprises ont signalé des attaques de ransomwares sur leurs terminaux. L'analyse de WatchGuard de l'incident détaille comment les attaquants travaillant avec la société de rançongiciels en tant que service (RaaS) REvil ont exploité trois vulnérabilités zero-day (dont CVE-2021-30116 et CVE-2021-30118) dans Kaseya VSA Remote Monitoring and Management (RMM). Par la suite, les rançongiciels ont été distribués à environ 1.500 XNUMX organisations et potentiellement à des millions de terminaux. Certes, le FBI a finalement compromis les serveurs de REvil et a reçu la clé de déchiffrement quelques mois plus tard. Pourtant, l'attaque a été un autre rappel brutal pour les organisations de prendre des mesures proactives. Les exemples incluent l'adoption de la confiance zéro, l'application du principe du moindre privilège à l'accès des employés et la garantie que les systèmes sont corrigés et mis à jour pour minimiser l'impact des attaques sur la chaîne d'approvisionnement.
Les rapports de recherche trimestriels de WatchGuard sont basés sur des données anonymisées de Firebox Feed provenant de WatchGuard Firebox actifs dont les propriétaires ont consenti au partage de données pour soutenir les recherches du Threat Lab. Au premier trimestre, WatchGuard a bloqué un total de plus de 16,6 millions de variantes de logiciels malveillants (454 par appareil) et plus de 4 millions de menaces réseau. Le rapport complet fournit des détails sur les tendances supplémentaires en matière de logiciels malveillants et de réseau à partir du troisième trimestre 2021, une plongée encore plus approfondie dans les menaces détectées au point de terminaison au cours du premier semestre 2021, des stratégies de sécurité recommandées, des conseils de défense clés pour les organisations de toutes tailles et de tous secteurs, et bien plus encore. plus.
Plus sur WatchGuard.com
À propos de WatchGuard WatchGuard Technologies est l'un des principaux fournisseurs dans le domaine de la sécurité informatique. Le vaste portefeuille de produits s'étend des plates-formes UTM (Unified Threat Management) hautement développées et des plates-formes de pare-feu de nouvelle génération à l'authentification multifacteur et aux technologies pour une protection WLAN complète et une protection des terminaux, ainsi que d'autres produits spécifiques et services intelligents liés à la sécurité informatique. Plus de 250.000 XNUMX clients dans le monde entier font confiance aux mécanismes de protection sophistiqués au niveau de l'entreprise,