Dans son dernier Rapport trimestriel sur la sécurité Internet, l’éditeur Watchguard présente les grandes tendances en matière de malwares et de menaces pour la sécurité des réseaux et des endpoints, analysées par les chercheurs du Threat Lab de WatchGuard au 3ème trimestre 2022.
Dans les grandes lignes, les conclusions clés du rapport révèlent que la principale menace du trimestre en matière de logiciels malveillants a été détectée exclusivement via des connexions chiffrées, mais aussi que les attaques ICS conservent leur popularité, que le logiciel malveillant LemonDuck évolue au-delà du cryptominage et, enfin, qu’un moteur de triche Minecraft diffuse une charge utile malveillante. Les experts du Threat Lab ont analysé également la banalisation des attaques AitM (Adversary-in-the-Middle), la dissimulation de JavaScript dans les kits d’exploitation et une famille de logiciels malveillants reliée à Gothic Panda. « Nous ne saurions trop insister sur l’importance d’activer l’inspection HTTPS, même si elle nécessite quelques réglages et exceptions pour fonctionner correctement. La majorité des logiciels malveillants utilisent le protocole chiffré HTTPS, et ces menaces ne sont pas détectées en l’absence d’inspection », a déclaré Corey Nachreiner, Chief Security Officer chez WatchGuard Technologies.
La grande majorité des logiciels malveillants utilise des connexions chiffrées
Bien qu’il soit arrivé 3ème dans la liste classique des 10 principaux malwares du 3ème trimestre, Agent.IIQ a pris la tête de la liste des logiciels malveillants chiffrés pour cette même période. De fait, en regardant les détections de ce malware sur ces deux listes, il apparaît que toutes les détections d’Agent.IIQ proviennent de connexions chiffrées. Au 3ème trimestre, si une appliance Firebox inspectait le trafic chiffré, 82 % des logiciels malveillants détectés passaient par une connexion chiffrée, ce qui correspond à seulement 18 % de détections sans chiffrement. Si le trafic chiffré n’est pas inspecté sur Firebox, il est très probable que ce ratio moyen s’applique et que l’entreprise passe à côté d’une énorme partie des logiciels malveillants.
Les systèmes ICS et SCADA restent les cibles d’attaques les plus courantes
Ce trimestre, une attaque de type injection SQL ayant touché plusieurs fournisseurs a fait son apparition dans la liste des dix principales attaques réseau. Advantech fait partie des entreprises concernées. Son portail WebAccess est utilisé pour les systèmes SCADA dans une variété d’infrastructures critiques. Un autre exploit sérieux au 3ème trimestre, également classé parmi les cinq principales attaques réseau en termes de volume, a visé les versions 1.2.1 et antérieures du logiciel U.motion Builder de Schneider Electric. Un rappel brutal du fait que les cybercriminels ne se contentent pas d’attendre tranquillement la prochaine opportunité, mais qu’ils cherchent activement à compromettre les systèmes chaque fois que cela est possible.
Les vulnérabilités des serveurs Exchange continuent de poser des risques
La CVE la plus récente parmi les nouvelles signatures du Threat Lab ce trimestre, CVE-2021-26855, est une vulnérabilité d’exécution de code à distance (RCE) de Microsoft Exchange Server pour les serveurs sur site. Cette vulnérabilité RCE a reçu un score CVE de 9,8 et est connue pour avoir été exploitée. La date et la sévérité de CVE-2021-26855 devraient également rappeler qu’il s’agit de l’un des exploits utilisés par le groupe HAFNIUM. Si la plupart des serveurs Exchange affectés ont probablement déjà été corrigés, la plupart ne veut pas dire la totalité. Des risques subsistent donc.
Les auteurs de menaces ciblent les internautes à la recherche de logiciels gratuits
Fugrafa télécharge un malware qui injecte du code malveillant. Ce trimestre, le Threat Lab en a examiné un échantillon trouvé dans un moteur de triche (cheat engine) pour le célèbre jeu Minecraft. Si le fichier partagé principalement sur Discord entend se faire passer pour le moteur de triche Minecraft Vape V4 Beta, son contenu ne s’arrête pas là. Agent.FZUW présente certaines similitudes avec Variant.Fugrafa, mais au lieu de s’installer par le biais d’un moteur de triche, le fichier lui-même prétend contenir un logiciel craqué. Le Threat Lab a découvert que cet échantillon particulier a des liens avec Racoon Stealer, une campagne de piratage de cryptomonnaies visant à dérober les informations de compte de services d’échange de cryptomonnaies.
Le malware LemonDuck évolue au-delà du cryptominage
Malgré une baisse du nombre total de domaines de malwares bloqués ou suivis pour le 3ème trimestre 2022, le constat est sans appel : les attaques contre les utilisateurs peu méfiants sont toujours aussi nombreuses. Avec trois nouveaux ajouts à la liste des principaux domaines de malwares (dont deux anciens domaines de malwares LemonDuck et une partie d’un domaine classé Emotet), le 3ème trimestre a été caractérisé par une augmentation des sites ou tentatives de sites hébergeant des logiciels malveillants constituant des domaines récents. Cette tendance va évoluer avec les bouleversements traversés par les cryptomonnaies, à mesure que les attaquants chercheront d’autres vecteurs par lesquels tromper les utilisateurs. L’activation continue de la protection DNS est un moyen de surveiller et d’empêcher les utilisateurs peu méfiants d’introduire des logiciels malveillants ou d’autres problèmes graves au sein d’une organisation.
Dissimulation de JavaScript dans les kits d’exploitation
La signature 1132518, une vulnérabilité générique permettant de détecter les attaques par dissimulation de JavaScript contre les navigateurs, a été le seul nouvel ajout à la liste des signatures d’attaques réseau les plus répandues ce trimestre. JavaScript est un vecteur courant d’attaque des utilisateurs, et les auteurs de menaces utilisent en permanence des kits d’exploitation basés sur JavaScript, notamment dans le cadre d’attaques de publicité malveillante (malvertising), d’attaques par « point d’eau » (watering hole) et d’attaques de phishing. Les fortifications défensives des navigateurs se sont améliorées et, avec elles, la capacité des cybercriminels à dissimuler du code JavaScript malveillant.
La banalisation des attaques de type « Adversary-in-the-Middle »
Si l’authentification multifacteur (MFA) est indéniablement la meilleure technologie qu’il est possible de déployer pour se protéger contre la plupart des attaques d’authentification, elle ne constitue pas à elle seule une solution miracle contre tous les vecteurs d’attaque. Les cybercriminels l’ont clairement fait savoir avec l’augmentation rapide et la banalisation des attaques AitM (Adversary-in-the-Middle). L’étude approfondie du Threat Lab sur EvilProxy, l’incident de sécurité le plus important du 3ème trimestre, montre à quel point les acteurs malveillants commencent à se tourner vers des techniques AitM plus sophistiquées. À l’instar de l’offre « Ransomware-as-a-Service » rendue populaire ces dernières années, la publication en septembre 2022 d’une boîte à outils AitM appelée EvilProxy a considérablement facilité l’accès à ce qui était auparavant une technique d’attaque sophistiquée. D’un point de vue défensif, la lutte contre ce type de technique d’attaque AitM nécessite de combiner outils techniques et sensibilisation des utilisateurs.
Une famille de malwares liée à Gothic Panda
Le rapport du Threat Lab pour le deuxième trimestre 2022 expliquait que Gothic Panda (un acteur lié au ministère chinois de la Sécurité d’État) était connu pour utiliser l’un des principaux logiciels malveillants détectés au cours de ce trimestre. Il est intéressant de noter que la liste des principaux logiciels malveillants chiffrés pour le 3ème trimestre comprend une famille de malwares appelée Taidoor, qui a non seulement été créée par Gothic Panda, mais dont l’utilisation n’est par ailleurs attribuée qu’à des cyberacteurs du gouvernement chinois. Alors que ces malwares visent généralement des cibles au Japon et à Taïwan, l’échantillon Generic.Taidoor analysé ce trimestre a principalement ciblé des organisations en France, ce qui suggère que certaines appliances Firebox de cette région ont pu détecter et bloquer plusieurs parties d’une cyberattaque soutenue par un État.
Nouveaux groupes d’extorsion et de ransomwares dans la nature
Au 3ème trimestre, LockBit arrive en tête de liste avec plus de 200 extorsions publiques sur sa page du Dark Web, soit près de quatre fois plus que celle de Basta, le deuxième groupe de ransomwares le plus prolifique observé par WatchGuard ce trimestre.
Hélène Saire