1

EVOLUTION de la Cybercriminalité, les dernières tendances

Retour sur 20 ans de menaces

2

Ampleur des menaces

1NOUVEAU VIRUS CHAQUE HEURE

1994

1NOUVEAU VIRUS CHAQUE MINUTE

2006

1NOUVEAU VIRUS CHAQUE SECONDE

2011

310,000NOUVEAUX SAMPLES CHAQUE JOUR

2016

3

0.1%

9.9%

90%

NATURE DES MENACES

Cybercrime traditionnel

Menaces ciblant des organisations

Cyber-armes

Attaques Ciblées

Menaces Persistantes Avancées - APT

4

PROPAGATION DES MENACES

Exploit kits

Email

Réseaux sociaux

USB

5

EVOLUTION DES MENACES : Q2 2016

Principaux chiffres et statistiques

6

L’attaque ciblée n’est pas une attaque directe C’est un processus continu!

LE PROCESSUS APT PEUT PRENDRE

PLUSIEURS ANNÉES POUR COMPLÉTER

SON ATTAQUE SANS JAMAIS

ÊTRE DÉCOUVERT

• Rester furtif et dormant

• Extraction des données

• Effacer les traces• Sortir

discrètement

EXFILTRER

• Obtention des accès

• Augmentation privilèges

• Cartographie• Mouvements

latéraux• Prise de

contrôle

ÉTENDRE ACCÈS

• Recherche cible• Création stratégie• Construire son jeu

d’attaque

PRÉPARER

• Exploitation faiblesses

• Pénétration périmètre

INFECTER

7

Comment adresser une attaque ciblée

GLOBAL THREAT

INTELLIGENCE

EFFICACITÉ RÉPONDRE

• Analyser l’incident• Prendre les actions

immédiates pour atténuer les conséquences

VIGILANT

• Découvrir l’incident• Tracer sa source

immédiate • Comprendre sa

nature

DÉTECTER

MULTI-COUCHESPRÉVENIR

• Réduire les risques• Améliorer la

connaissance des dangers

• Implémenter une approche efficace pour atténuer les risques potentiels avec des solutions existantes

INTELLIGENT PRÉDIRE

• Analyser les lacunes de sécurité

• Ajuster les contre-mesures en adéquation

• Créer un SOC dédié

9

GEOGRAPHIE DES MENACES - Top 10 – Q2 2016

►Localisation géographique des ressources en ligne utilisées lors des attaques et bloquées par les modules antivirus.

►Q2 2016 c’est 171,895,830 attaques exécutées depuis des ressources web situées dans 191 pays.

►81% des ressources en ligne utilisées pour propager les menaces sont situées dans 10 pays.

10

VULNERABILITES LES PLUS UTILISEES

►Les 1ere places durant Q2 2016 ont été occupés par les Navigateurs (48%), ce qui inclue les exploit ciblant les navigateurs internet. Cette catégorie est à ce niveau depuis les 12 derniers mois.

►Durant Q2 2016, les exploits pour Adobe Flash Player sont restés populaires. 2 nouvelles vulnérabilités de ce logiciel ont été découverte durant cette période: CVE-2016-4117 CVE-2016-4171Les 2 ont été utilisées dans les exploits kit Magnitude et Neutrino. La seconde a également été utilisée dans l’exploit kit ScarCruft.

11

Statistiques Q1 2016

228 420 754 attaques en ligne réparties sur 195 pays

74 001 808 URLs malicieuses (AV web)

18 610 281 objets malveillants, scripts, codes d’exploitation, fichiers exécutables (AV web)

174 547 611 objets malveillants ou potentiellement indésirables (AV fichiers)

372 602 Crypto ransomware attaques bloquées (uniques)

12

MENACES MOBILE : Q2 2016

Principaux chiffres et statistiques

13

MENACES MOBILES – STATISTIQUES Q2 2016

14

MENACES MOBILE – TROJANS BANCAIRES

15

LES CRYPTOVIRUSLE MAL DE 2016 !!

RANSOMWARE – PROBLEM OF THE YEAR?

16

EN Q3 de l’année 2016, nous avions déjà recensé le même nombre de cyber menaces que sur une année entière .

Les Ransomwares sont devenus l'une des principales caractéristiques du paysage menaces

Malheureusement, c'est une situation qui va continuer à évoluer,

En Q3 2016 nous avons bloqués plus d'attaques de ransomwares que dans l'ensemble de 2015!

Le nombre total de modifications des cryptolockers dans notre collection de logiciels malveillants à ce jour est au moins de 26.000. Au moins 21 nouvelles familles de cryptolckers et 32 091 nouvelles modifications ont été détectées au Q3 2016.

Au troisième trimestre de 2016, 821 865 utilisateurs uniques ont été attaqués par des cryptolockers- soit 2,6 fois plus qu'au trimestre précédent.

RANSOMWARE

17

Number of new cryptor samples in our collection Number of users attacked by ransomware

TOP 10 CRYPTORS Q3 2016

18

19

Pourquoi il y a en a eu autant?

21

RETOUR SUR LE CAS LOCKY

En février 2016, Internet a été secoué par une épidémie provoquée par le nouveau trojan ransomware Locky

Verdict Kaspersky Lab :Trojan-Ransom.Win32.Locky (~7 variantes par jour)

Utilisateurs répartis dans 114 pays

L’analyse de l’échantillon a démontré qu’il s’agissait d’un tout nouveau représentant d’une classe de ransomware créé à partir de zéro

Propagation : spams avec des downloaders malveillants en pièce jointe

22

LE CAS LOCKYDétection des fichiers avec les macros malveillantes sous les verdicts Trojan-Downloader.MSWord.Agent et HEUR:Trojan-Downloader.Script.Generic

Macros automatiques désactivées par Microsoft mais activation manuelle possible

Du coup nouveau format : archive zip qui contient un ou plusieurs scripts en langage JavaScript

Versions bilingues - La victime doit exécuter les scripts manuellement

23

LE CAS LOCKYContacte le serveur de commande et signale l’infection.

Obtient du serveur la clé publique RSA-2048 ainsi que l’identifiant d’infection et il les enregistre dans la base de registre.

Détection langue OS pour texte victime et l’enregistre dans la base de registre.

Chiffre les fichiers portant certaines extensions sur les disques locaux.

Supprime les clichés instantanés (shadow copies) des fichiers.

S’inscrit dans le démarrage automatique (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run).

Recherche les fichiers portant certaines extensions sur les disques réseau (mappés ou non) et les chiffre.

Affiche à la victime les demandes des individus malintentionnés.

Termine son processus et se supprime lui-même.

24

LE CAS LOCKY

25

Le cas locky

26

PLETOR, SVPENG : ransomware pour mobile

Pletor• Chiffrement via AES

• Chiffrement des fichiers multimédias et documents personnels

• Mugshot de l’utilisateur

SVPENG• Imite une analyse du téléphone puis le

bloque• Demande de rançon de 500$• Empêche le redémarrage / arrêt du terminal

27

Grâce à un ransomware, les transports de San Francisco deviennent totalement gratuits (26 Nov)

 2000 des 8656 postes informatiques utilisés par la régie de transport affiche un message indiquant « Vous avez été piratés, vos données sont cryptées » avec l’adresse mail des hackers.les pirates exigent une rançon

pour débloquer les systèmes attaqués.

28

Plus possible d’acheter de tickets

Le problème pour la régie de transport, c’est que les hackers ont également bloqué le système de billetterie. Pour éviter tout problème aux voyageurs, la SFMTA a alors pris la décision de permettre aux usagers de voyager gratuitement sur toutes ses lignes le temps que le problème soit résolu, soit de vendredi soir à samedi matin

29

COMMENT CONTRER LES CRYPTOVIRUS

30

NE PAYEZ PAS

,

Avec une rançon moyenne d’environ 300$, les campagnes de ransomwares de millions de dollars semblent irréalistes, cependant de légères augmentations font leur apparition au fil du temps, ces programmes d’extorsion ayant prouvé à la fois leur efficacité et leur endurance.L’utilisateur lambda sera éventuellement confronté à la question difficile de payer la rançon ou de perdre ses fichiers. Malheureusement, plusieurs choisissent de payer

31

Quelles sont les bonnes démarches à adopter ??

Composantes d’une protection efficace contre les cryptomalwares :

► Protection Antivirus sur le flux de messagerie à différents niveaux de l’infrastructure

► Protection des postes de travail :• Analyse en temps réel des fichiers

(Antivirus Fichiers)• Analyse en temps réel du courrier

(Antivirus Courrier)• Analyse comportementale

(System Watcher)• Blocage du lancement d’applications pour les dossiers

(Contrôle du lancement des applications)• Protection des extensions de fichiers sensibles

(Contrôle de l’activité des applications)

► Sensibilisation des utilisateurs aux bonnes pratiques

► Sauvegarde protégée et régulière des données

32

SÉCURISER LES RÉSEAUX D'ENTREPRISE : UNE TÂCHE DE PLUS EN PLUS DIFFICILE

Des terminaux de plus en plus

diversifiés

Utilisation des périphériques

personnels à des fins

professionnelles

Installation de correctifs pour

plusieurs applications sur

plusieurs appareils

WiFinon sécurisé

Augmentation de la mobilité

Évolution etmultiplication des

programmes malveillants

33

PRENDRE DES MESURES POUR PROTÉGER VOTRE ENTREPRISE N'A JAMAIS ÉTÉ AUSSI VITAL

Créez une politique de sécurité robuste, concise et efficace

Mettez vos politiques en pratique rapidement et simplement

Sensibilisez vos employés aux cyber-menaces et offrez-leur les moyens d'agir

Éliminez toute situation pouvant laisser la place aux comportements à risque

Consacrez-vous plus à la sécurité qu'à la résolution des problèmes a posteriori

Anticipez les risques et instaurez des mesures préventives

Éducation

Mise en application

Outils

Prévention des atteintes à la sécurité informatique et des données

TARGETED ATTACKS AND APTS SEE A STRONG INCREASE

34

DES OUTILS D’EXPERTS

35

MERCI !!

36