Skybox Security VULNERABILITY AND THREAT …...menaces. Le présent rapport aborde les nouvelles...

15
Skybox Security VULNERABILITY AND THREAT TRENDS Bilan de mi-année 2018 Analyse des enjeux liés aux vulnérabilités, menaces et exploits

Transcript of Skybox Security VULNERABILITY AND THREAT …...menaces. Le présent rapport aborde les nouvelles...

Page 1: Skybox Security VULNERABILITY AND THREAT …...menaces. Le présent rapport aborde les nouvelles vulnérabilités publiées en 2018, les derniers exploits conçus, les nouveaux malwares

Skybox Security

VULNERABILITY

AND THREAT TRENDS Bilan de mi-année 2018

Analyse des enjeux liés aux vulnérabilités, menaces et exploits

Page 2: Skybox Security VULNERABILITY AND THREAT …...menaces. Le présent rapport aborde les nouvelles vulnérabilités publiées en 2018, les derniers exploits conçus, les nouveaux malwares

Sommaire

SYNTHÈSE 3

Principaux constats 4

VULNÉRABILITÉS ET EXPLOITS 5

L’ampleur des vulnérabilités se maintient 5

Vulnérabilités par catégorie 6

Top 10 des produits les plus vulnérables 7

Les vulnérabilités côté serveur continuent de croître 8

Fournisseurs les plus touchés par les exploits 8

MENACES 9

Les navigateurs Web sur une pente ascendante… à nouveau 9

Les vulnérabilités basées sur le navigateur et le déclin des kits d’exploitation 10

Menaces en provenance d’États-nation 10

Filtre VPN 10

Adobe Flash 10

MALWARES ET ATTAQUES 11

Les principales familles de malwares 11

Principales attaques de malwares au premier semestre 2018 12

Les ransomwares sur le déclin 12

Les cryptomineurs règnent en maîtres 12

Introduction au cryptominage 13

CONCLUSION 14

A propos de ce rapport 15

A propos de Skybox Security 15

Page 3: Skybox Security VULNERABILITY AND THREAT …...menaces. Le présent rapport aborde les nouvelles vulnérabilités publiées en 2018, les derniers exploits conçus, les nouveaux malwares

Vulnerability and Threat Trends Report 3

SYNTHÈSE

Pour pouvoir traiter les vulnérabilités anciennes et nouvelles auxquelles votre entreprise est exposée, il est fondamental de comprendre le rôle qu'elles jouent dans le paysage actuel des menaces. Le présent rapport aborde les nouvelles vulnérabilités publiées en 2018, les derniers exploits conçus, les nouveaux malwares et attaques basés sur des exploits, ainsi que les tactiques de menaces utilisées par les cyberattaquants. Cette analyse permet de contextualiser les milliers de vulnérabilités aujourd'hui existantes.

Ce rapport aborde les tendances observées dans le domaine des vulnérabilités, des exploits et des menaces afin d'adapter

votre stratégie de sécurité au contexte actuel. L'intégration de ces informations dans les programmes de gestion des vulnérabilités permet de mettre ces vulnérabilités en contexte et de se concentrer sur la remédiation des vulnérabilités les plus à même d'être employées lors d'une attaque.

Ceci est la mise à jour d'un rapport publié en janvier 2018 visant à faire état des tendances de mi-année. Toutes les statistiques de 2018 reflètent les données du premier semestre (du 1er janvier au 30 juin 2018).

Page 4: Skybox Security VULNERABILITY AND THREAT …...menaces. Le présent rapport aborde les nouvelles vulnérabilités publiées en 2018, les derniers exploits conçus, les nouveaux malwares

Vulnerability and Threat Trends Report 4

Principaux constats

L'année des cryptomineurs

Si 2017 était l'année du ransomware, 2018 semble bien partie pour être celle des cryptomineurs. Alors qu'au second semestre 2017, le haut du classement était dominé par les ransomwares, le cryptominage malveillant représente près d'un tiers des attaques au cours de la première moitié de 2018. Les malwares de cryptominage parviennent souvent à opérer sans être détectés tout en faisant gagner de l'argent aux attaquants. Ces derniers s’attaquent directement à la source (c'est-à-dire là où la monnaie est produite) pour générer des profits plutôt que d'extorquer des victimes individuelles. Les cybercriminels semblent tirer leur épingle du jeu à merveille.

Les ransomwares perdent du terrain mais continuent de représenter une menace

A mesure que les victimes potentielles découvrent les tactiques déployées par les ransomwares, les techniques de défense se renforcent. Des systèmes de sauvegarde et des programmes de déchiffrement efficaces ont réussi à contrecarrer les menaces des ransomwares dans de nombreux secteurs. Toutefois, comme le montrent les attaques dirigées contre des structures municipales et de santé durant le premier semestre 2018, les ransomwares restent une préoccupation majeure, notamment au sein des secteurs vulnérables. Les attaques réussies telles que WannaCry continuent de représenter une nuisance, à l’image de l’attaque frappant le géant industriel Boeing dix mois après la première apparition d’une vulnérabilité.

Les vulnérabilités mobiles et Internet sont majoritaires

Les vulnérabilités mobiles et Internet ont constitué près d'un tiers de toutes les vulnérabilités. Par comparaison, celles des systèmes d'exploitation de bureau et des serveurs représentent 14 % et celles des applications bureautiques à peine 7 %. Ceci illustre la tendance plus globale de migration des logiciels, depuis les installations en local vers le modèle SaaS. Malheureusement, les équipes de sécurité ont moins de maîtrise sur les applications mobiles et Internet, d'où un risque potentiellement élevé en termes de surface d'attaque.

Page 5: Skybox Security VULNERABILITY AND THREAT …...menaces. Le présent rapport aborde les nouvelles vulnérabilités publiées en 2018, les derniers exploits conçus, les nouveaux malwares

Vulnerability and Threat Trends Report 5

VULNÉRABILITÉS ET EXPLOITS

L'ampleur des vulnérabilités se maintient CVEs par année

À la section L'ampleur des vulnérabilités de notre rapport de janvier, nous avons évoqué un pic important dans le nombre de CVEs publiés. Au total, ce sont 14 646 nouvelles CVEs que l'on dénombre à fin 2017, soit une hausse de 127 % par rapport à l'année précédente. Ce pic est partiellement dû aux ressources accrues de l'organisation MITRE et dans la base de données nationale des vulnérabilités (NVD) qui publie les CVEs, ainsi qu'à une hausse des recherches de vulnérabilités de la part des fournisseurs et tierces parties.

2018 n'affiche aucun signe de ralentissement. À fin juin, ce sont 8 502 CVEs qui ont été publiés par le NVD depuis le début de l'année, ce qui est déjà supérieur aux chiffres de toute l'année 2016. Ainsi, 2018 est bien partie pour battre le record de 2017.

14627

15000

Niveau de gravité CVSS

Élevé

12000 Moyen

Faible 9000 8502

6446

6000

3000

0

2011 2012 2013 2014 2015 2016 2017 2018

Source : https://nvd.nist.gov/vuln-metrics/visualizations/ cvss severity-distribution-over-time

Page 6: Skybox Security VULNERABILITY AND THREAT …...menaces. Le présent rapport aborde les nouvelles vulnérabilités publiées en 2018, les derniers exploits conçus, les nouveaux malwares

Vulnerability and Threat Trends Report 6

Pour être en mesure de traiter le flot de vulnérabilités, les entreprises doivent mettre en place des mécanismes de hiérarchisation de meilleure qualité, plutôt que de se contenter des scores temporels ou de base du Système commun de notation des vulnérabilités (CVSS). Afin d'illustrer ce problème, prenons l'exemple de CVE–2017–0147, une vulnérabilité de divulgation d'information de gravité moyenne (CVSS 5.3) au sein du protocole SMB de Microsoft. Cette vulnérabilité a été utilisée par les tristement célèbres exploits NSA EternalBlue et EternalRomance ainsi que dans le cadre de l'attaque WannaCry en 2017. À l'évidence, le CVSS n'est pas toujours en phase avec la réalité.

Par ailleurs, le CVSS ne reflète pas le risque existant dans un réseau unique, où certaines vulnérabilités critiques peuvent s'avérer suffisamment protégées à travers une combinaison faite de topologie de réseau et de contrôles de sécurité, tandis qu'une vulnérabilité de gravité moyenne se retrouvera en ce qui la concerne exposée à une attaque potentielle. Dans un tel cas, la hiérarchisation CVSS refléterait de manière incorrecte le risque posé par de telles difficultés.

Vulnérabilités par catégorie Il ressort d'une analyse par type de système que les vulnérabilités mobiles et Internet sont majoritaires. En effet, les vulnérabilités mobiles et Internet représentent 29 % des vulnérabilités publiées au premier semestre 2018, suivies par les applications professionnelles

et les outils de développement, avec respectivement 19 % et 17 % du total. La catégorie de vulnérabilités mobiles et Internet intègre celles repérées dans les systèmes d'exploitation mobiles tels qu'Android de Google ou iOS d'Apple, les navigateurs tels que Google Chrome, Microsoft Edge, Mozilla Firefox et Apple Safari, ainsi que certaines applications Web comme Adobe Flash ou encore des systèmes de gestion de contenu tels que WordPress.

Par rapport au second semestre 2017, les vulnérabilités mobiles et Internet ont crû de 8 % durant le premier semestre de 2018. Sur la même période, les vulnérabilités dans les applications bureautiques ont chuté de 4 points de pourcentage pour s'établir à 7 % des nouvelles vulnérabilités durant le premier semestre 2018. Ces statistiques mettent en lumière la transition depuis les applications installées en local vers les usages applicatifs Internet et mobiles, dans la lignée des prévisions établies par Microsoft pour son exercice 2019 : le géant de la technologie estime que les deux tiers de ses clients Office entreprises utiliseront Office 365.1 Or, plus la technologie Internet et mobile gagnera en présence, plus grand sera le nombre de vulnérabilités découvertes.

1 Jha, Rajesh. Transcription d'une conférence téléphonique à l'occasion de la Deutsche Bank Technology Conference 2018, à Las Vegas. 27 juin 2018. https://view.officeapps.live.com/op/view.aspx-?src=https://c.s-microsoft.com/en-us/CMSFiles/JhaDB. docx?version=1cf04245-5f77-8460-1caf-eafa7764dfe0

Répartition des vulnérabilités, second semestre 2017

Répartition des vulnérabilités,

premier semestre 2018

OT Autres

OT

16%

1% 4%

loT 16%

Outils de dév.

Outils de dév.

17%

1% 1%

14% 3%

loT OS de

bureau et

de serveurs

OS de

bureau et

de serveurs

9% Réseautique et

sécurité

Réseautique et

sécurité 11% Applis pros 22%

Applis pros 19%

Internet et mobile Internet et mobile

21% 29%

Applis de bureau

Applis de bureau

11%

7%

OS de bureau

et de serveurs

OS de

bureau et

de

serveurs

Page 7: Skybox Security VULNERABILITY AND THREAT …...menaces. Le présent rapport aborde les nouvelles vulnérabilités publiées en 2018, les derniers exploits conçus, les nouveaux malwares

Vulnerability and Threat Trends Report 7

Top 10 des produits les plus vulnérables

Le top 10 des produits figurant dans le graphique ci-dessous constitue un cinquième des nouvelles vulnérabilités publiées (pour un total de 1 645 vulnérabilités) au cours du premier semestre 2018, tandis que les 990 produits restants dont le suivi est assuré par le Skybox® Research Lab ont compté au total 6 857 vulnérabilités. Les géants de la Tech tels que Google, Microsoft et Apple ont dominé le classement durant la première moitié de 2018. Les applications open source plus modestes atteignent parfois le top 10 ; ImageMagick s'est classée quatrième de la liste au second semestre 2017 mais a chuté autour de la trentième place durant la première moitié de 2018.

POURQUOI

Google présente TANT DE

vulnérabilités ?

Les malwares pour mobile se développent dans l'ensemble. Google Android s'est révélé plus accessible qu'iOS d'Apple pour les concepteurs de malwares, ce qui en fait une cible privilégiée.

Vulnérabilités par produit

Sans parler de l'omniprésence de ses appareils mobiles en eux-mêmes, Android est le leader du marché dans le monde. La hausse du nombre de cibles potentielles offre un meilleur retour sur investissement pour les développeurs d'exploits, qui peuvent eux-mêmes être à la recherche de vulnérabilités.

Le programme bug bounty de Google pour les vulnérabilités Android est extrêmement actif. En 2017, Google a déboursé près de 3 millions de dollars au total pour les nouvelles vulnérabilités découvertes, allant jusqu'à payer 112 500 $ pour un unique exploit de Pixel Phone.2 Par ailleurs, Google met à l'honneur ses bounty hunters (ou « chasseurs de primes »), réussissant peut-être ainsi à attirer davantage de chercheurs en sécurité plus intéressés par la célébrité que par l'argent.

Les malwares de cryptomonnaie, dont beaucoup ciblent le fameux Google Play Store, ont augmenté de 70 % durant le premier semestre 2018 par comparaison avec la seconde moitié de 2017.

Android a totalisé 731 vulnérabilités sur le premier semestre 2018, soit près de 200 de plus qu'au cours du second semestre de l'année précédente, représentant 11 % de toutes les nouvelles vulnérabilités publiées. Les autres plateformes du top 10 ont enregistré des statistiques de vulnérabilités relativement comparables entre le second semestre 2017 et la première moitié de 2018. Quant à Linux Kernel, Microsoft Edge, Adobe Acrobat/Reader, Apple MacOS X et Apple iOS, ces plateformes ont bénéficié d'un déclin.

Les appareils mobiles sont de plus en plus connectés aux réseaux d'entreprises, avec pour effet d'accroître leur surface d'attaque. De plus, en raison de la politique du Bring Your Own Device, les services informatiques ont moins le contrôle sur les appareils mobiles, les mises à niveau de systèmes d'exploitation, les applications installées et les liens sur lesquels les utilisateurs choisissent de cliquer.

2 Tech Crunch. Google’s bug bounty programs paid out almost $3M in 2017. 27 juin 2018. https://techcrunch.com/2018/02/07/ googles-bug- bounty-programs-paid-out-almost-3m-in-2017/

800

600

400

200

0

Second semestre 2017

Premier semestre 2018

Page 8: Skybox Security VULNERABILITY AND THREAT …...menaces. Le présent rapport aborde les nouvelles vulnérabilités publiées en 2018, les derniers exploits conçus, les nouveaux malwares

Vulnerability and Threat Trends Report 8

100%

24% 20%

80% 41%

60%

40%

20%

0%

59%

76% 80%

2016 2017 2018

Côté serveur

Second semestre 2017

Côté client

Les vulnérabilités côté serveur continuent de croître

La tendance qui voit les exploits côté serveur dominer le champ des exploits «in the wild» s'est poursuivie. En 2016, les vulnérabilités côté serveur ont représenté 59 % des exploits «in the wild» ; mi-2018, ce chiffre atteint 80 %. Cette tendance est probablement due en partie au déclin des kits d'exploitation tirant parti des vulnérabilités côté client ainsi qu'à la bascule vers les attaques côté serveur telles que les Drupalgeddons, ou encore vers les attaques sur les équipements réseau comme Cisco ASA.

Vulnérabilités exploitées

«in the wild»

Fournisseurs les plus touchés par les exploits

Si l'on se penche sur les exploits «in the wild» utilisés dans les attaques tant ciblées que distribuées, Cisco détient la triste palme du fournisseur le plus touché par les exploits pour le premier semestre 2018, avec 21 % de tous les exploits. Durant cette même période, Cisco a été victime des exploits majeurs des vulnérabilités de Cisco Smart Install et Cisco ASA, ainsi que du malware VPNFilter qui a affecté des centaines de milliers de routeurs Cisco dans le monde.

Oracle, qui a détenu la première place au cours du second semestre 2017 avec 21 % des exploits, n'est plus désormais qu'à la quatrième place, dénombrant 11 % des exploits sur la première moitié de 2018.

Drupal est l'invité surprise de la liste, arrivant quatrième

ex æquo avec Oracle. En mars, l'attaque Drupalgeddon2, dont ont tiré profit le cryptomineur Monero ainsi que le botnet

Muhstik et qui a exploité CVE–2018–7600, a mis en péril la

sécurité des sites Web du monde entier. En un mois,

Drupalgeddon3 a exploité les failles de sécurité des versions

6 à 8 de Drupal (CVE–2018–7602), permettant aux

attaquants de prendre le contrôle total des sites clients Drupal.

Fournisseurs les plus touchés par les exploits

20%

15%

10%

5%

0

25%

Cisco Microsoft Adobe Drupal Oracle

Premier semestre 2018 Second semestre 2017

Page 9: Skybox Security VULNERABILITY AND THREAT …...menaces. Le présent rapport aborde les nouvelles vulnérabilités publiées en 2018, les derniers exploits conçus, les nouveaux malwares

Vulnerability and Threat Trends Report 9

MENACES

Les navigateurs Web sur une pente ascendante... à nouveau

Les cybermenaces basées sur le navigateur restent l'une des

principales préoccupations des professionnels de la

cybersécurité aujourd'hui. Il est fondamental pour les

entreprises de mettre en place des protections efficaces pour

se prémunir contre ces attaques difficilement détectables.

Sur les dix produits les plus vulnérables, quatre sont des

navigateurs Web. À l'exception de Microsoft Edge, tous les

autres navigateurs Internet ont connu une hausse du nombre

de vulnérabilités durant la première moitié de 2018 par

rapport au second semestre 2017. Les navigateurs sont

considérés comme les plus sujets aux attaques malveillantes

parmi tous les logiciels utilisés. La raison en est simple : ils

interagissent constamment avec les sites Internet et les

applications que les cybercriminels infectent au moyen de

malwares (ex. : attaque de point d'eau, malvertising, logiciels

publicitaires, mineurs).

Les navigateurs usent de manière intensive des modules d'extension tiers tels que Javascript, Flash Player et ActiveX. Or, ces plug-ins comportent souvent des brèches que les attaquants exploitent en vue d'accéder à des systèmes. Les attaquants en ligne utilisent les vulnérabilités disponibles dans les navigateurs et leurs fonctionnalités supplémentaires pour pénétrer dans le système d'exploitation, récupérer des données personnelles (chevaux de Troie bancaires), opérer un déni d'accès aux fichiers système (ransomwares) ou installer des malwares (cryptomineurs). Les menaces Web spécifiquement conçues pour tirer profit des vulnérabilités de navigateur se développent non seulement parce que les navigateurs représentent une cible stratégiquement intéressante pour les attaques, mais aussi car de telles attaques s'avèrent extrêmement difficiles à détecter. Les cryptomineurs, par exemple, peuvent rester

actifs tant que la session Web est ouverte. Les

cryptomineurs n'ont pas tous besoin d'installer des fichiers,

d'où la difficulté de les détecter. Les malwares « sans

fichier » deviennent une technique de camouflage de plus

en plus populaire, dans la mesure où la plupart des

technologies de détection et de prévention examinent les

fichiers tels que les téléchargements ou les pièces jointes.

Si les menaces basées sur le navigateur n'installent pas de

fichiers, les contrôles de sécurité conventionnels se

retrouvent dépourvus d'éléments à analyser. À moins que

les entreprises n'implémentent des outils avancés qui ne

se fondent pas sur l'analyse de fichiers, les attaques de

navigateur ont toutes les chances de rester non détectées.

Classement des navigateurs les plus vulnérables

140

120

100

80

60

40

20

0 Google Chrome

Mozilla Firefox

Microsoft Edge

Microsoft ChakraCore

Second semestre 2017

Premier semestre 2018

Page 10: Skybox Security VULNERABILITY AND THREAT …...menaces. Le présent rapport aborde les nouvelles vulnérabilités publiées en 2018, les derniers exploits conçus, les nouveaux malwares

Vulnerability and Threat Trends Report 10

Les vulnérabilités basées sur navigateur et le déclin des kits d'exploitation En 2017, de nombreux kits d’exploitation ont essentiellement

utilisé les vulnérabilités des navigateurs Internet et des

applications similaires. Poursuivant une tendance entamée

en 2016, les kits d’exploitation n'ont clairement joué qu'un rôle

secondaire par rapport à d'autres méthodes d'attaque, bien

qu'ils ne soient pas totalement morts ; le premier

semestre 2018 a vu plusieurs vulnérabilités non corrigées

d'Adobe Flash utilisées dans des attaques de kits

d’exploitation. Mais alors que la technologie, Flash infestée de

vulnérabilités, atteint un plancher historique, les attaquants

cherchent à exploiter d'autres technologies bénéficiant d'un

parc plus large d'utilisateurs qui représentent de potentielles

victimes.

Les kits d’exploitation encore existants s'intéressent

aujourd'hui davantage aux outils d'ingénierie sociale qu'aux

vulnérabilités non corrigées. Toutefois, les auteurs

malveillants motivés par le côté financier se sont tournés vers

le cryptominage pour cibler les serveurs et exploiter leur

puissance de calcul en vue de générer de la cryptomonnaie.

Menaces en provenance d'États-nations

Tandis que l'attention est portée sur les agissements des

cybercriminels (ransomwares, cryptomineurs), les acteurs

soutenus par les États-nations restent très actifs. Au nombre

des cyberconflits majeurs du premier semestre 2018 figurent

le malware VPNFilter et un exploit Adobe Flash.

VPNFilter

VPNFilter est un malware modulaire et multi-niveau. Depuis son premier lancement en 2016, ce malware a compromis plus de 500 000 routeurs et box NAS de particuliers et petites entreprises. Une infection d'une telle ampleur est en mesure de permettre aux créateurs de ce code malveillant de se servir des nœuds affectés comme d'un VPN privé, rendant très difficile l’identification de la source de l’attaque.

Le FBI laisse entendre aux lecteurs de sa publication que le malware VPNFilter pourrait être l'œuvre de Sofacy Group (alias APT28, Sandworm, X Agent, Pawn Storm, Fancy Bear, Sednit), dont le lien a été établi avec l'agence de renseignement militaire russe GRU. Il a par ailleurs effectué la saisie d'un domaine clé qui était utilisé pour infecter des routeurs de particuliers.

Des chercheurs de Cisco ont par ailleurs remarqué que « le schéma de l'attaque indique que le malware fait partie d'une opération soutenue par un État visant à créer un botnet polyvalent et efficace ou une campagne de collecte de données, et présente les caractéristiques de précédents malwares d'Europe orientale ». Par ailleurs, des fragments de ce malware reprennent du code issu du malware BlackEnergy responsable de plusieurs attaques à grande échelle ayant ciblé des dispositifs en Ukraine, qui était également attribué à un acteur malveillant soutenu par le gouvernement russe.

Adobe Flash

Le 31 janvier, une vulnérabilité non corrigée d'Adobe Flash a été identifiée par l'Agence sud-coréenne de sécurité et de l'Internet (KrCERT/ CC). Des acteurs malveillants nord-coréens ciblaient des entités situées en Corée du Sud. Cette vulnérabilité a été exploitée «in the wild» dès le 14 novembre 2017. D'après FireEye iSIGHT Intelligence et Cisco, un groupe de pirates informatiques nord-coréens traqué par leurs soins (avec pour surnom TEMP.Reaper et Group 123) serait derrière l'exploitation de cette vulnérabilité. Ce groupe semble utiliser des TTP anciennement employés par l'acteur malveillant nord-coréen au niveau de l'État-nation.

Les principales victimes ont été des cibles sud-coréennes affectées par des malwares hébergés sur des sites sud-coréens de tierces parties, plus probablement un programme dénommé DOGCALL (alias ROKRAT), un cheval de Troie à distance qui ouvre une porte dérobée sur l'ordinateur compromis. Pouvant également télécharger des fichiers potentiellement malveillants et procéder à du vol de données, cet acteur est capable de pratiquement tout faire sur la machine ciblée.

Page 11: Skybox Security VULNERABILITY AND THREAT …...menaces. Le présent rapport aborde les nouvelles vulnérabilités publiées en 2018, les derniers exploits conçus, les nouveaux malwares

Vulnerability and Threat Trends Report 11

MALWARES ET ATTAQUES

Les principales familles de malwares

Le graphique ci-dessous répertorie les types de malwares avec le plus grand nombre d'attaques à leur actif. A noter : les cryptomineurs ont enregistré la plus forte hausse en termes de nouvelles attaques de malwares, passant de 7 % des attaques signalées au second semestre 2017 à 32 % au premier semestre 2018.

Dans le même temps, les ransomwares, l'outil préféré des cybercriminels ces dernières années, ont connu un déclin du volume d'attaques essentiellement au profit du cryptominage. Certes, les ransomwares et les autres familles de malwares représentent encore et toujours une menace, mais le minage malveillant de monnaie virtuelle s'est avéré trop attractif en termes de retour sur investissement pour rester dans l'ombre.

Familles de malwares par type

0

35%

30%

25%

20%

Second semestre 2017

Premier semestre 2018

32% 32%

17% 17%

13%

15%

10% 12%

8%

11%

8%

11% 11%

5% 5%

3% 4% 2% 4% 4%

7%

Mineur de

cryptomonnaie

Cheval de Troie

à distance Logiciel espion

Botnet Ransomware Cheval de Troie

bancaire

Porte dérobée Cheval de Troie Ver

Page 12: Skybox Security VULNERABILITY AND THREAT …...menaces. Le présent rapport aborde les nouvelles vulnérabilités publiées en 2018, les derniers exploits conçus, les nouveaux malwares

Vulnerability and Threat Trends Report 3 Crowe, Jonathan. 10 Must-Know Cybersecurity Statistics for 2018.

Barkly. 9 juillet 2018. https://blog.barkly.com/2018-cybersecurity-statistics

12

Principales attaques de

malwares

AU PREMIER SEMESTRE 2018

Faille dans Cisco Smart Install

L'attaque s'est déroulée en mars 2018, lorsqu'un groupe de pirates du nom de JHT a exploité une vulnérabilité dans Cisco Smart Install permettant d'exécuter un code distant sur les routeurs Cisco. Cette attaque a affecté près de 200 000 routeurs dans le monde.

Drupalgeddon2

Comme son nom l'indique, l'attaque a ciblé des serveurs Drupal. Le 28 mars, plusieurs groupes de campagnes malveillantes ont exploité le système de gestion de contenu de Drupal. Les versions 6 à 8 de Drupal étaient exposées en raison de cette attaque.

VPNFilter

Divers types de routeurs ont été infectés par cette attaque. VPNFilter est un malware modulaire et multi-niveau fonctionnant principalement sur des routeurs de particuliers ou de petites entreprises. Il a compromis plus de 500 000 routeurs. Une infection d'une telle ampleur est en mesure de permettre aux créateurs de ce malware de se servir des nœuds affectés comme d'un VPN privé, rendant très difficile le travail de remontée à la source d'une attaque donnée.

Les ransomwares sur le déclin

En 2017, les ransomwares étaient incontestablement l'outil préféré des attaquants. Lors du pic atteint en juin 2017, les chercheurs de Malwarebytes ont conclu que 7 charges utiles de malware sur 10 étaient des ransomwares. Toutefois, depuis lors, la tendance est allée à la décrue : en juillet de la même année, le ratio de ransomwares est tombé à moins de 30 % de toutes les charges utiles de malware. En décembre, ce même ratio a chuté à moins de cinq pour cent.3

Pourquoi une telle baisse ?

• Un casse réussi par ransomware suppose que la victime soit dépourvue de sauvegardes fiables (ou qu'elle n'ait pas le temps ou les ressources nécessaires pour pouvoir les utiliser). Par ailleurs, cette même victime doit disposer

d'un accès facile et rapide à une monnaie virtuelle, et avoir confiance en le fait que l'attaquant tiendra ses promesses de déblocage après avoir reçu le paiement.

• Pour tenir ce pari, l'attaquant doit être capable de décrypter et de restituer les fichiers à la victime. Le cas échéant, il s’expose à la loi des rendements décroissants : s'il n'est plus possible de faire confiance au pirate informatique, les victimes ne verront plus aucun intérêt à payer une rançon pour ne rien recevoir en retour. C'est ce qu'il s'est passé avec NotPetya, qui semblait de prime abord être un ransomware ; pourtant, au fur et à mesure que les victimes ne parvenaient pas à récupérer leurs données après le versement de la rançon, de moins en moins de victimes ont payé pour ce qui s'est avéré être finalement un destructeur.

• Des chercheurs indépendants ont produit de nombreux programmes autonomes pour déchiffrer les fichiers. Ces applications « vaccins » permettent de limiter quelque peu l'impact d'une attaque par ransomware.

• Dans un contexte de connaissance améliorée des ransomwares et de déclin du stockage de fichiers, les entreprises ont mis en place des systèmes de sauvegarde et ont recours à des outils de protection de meilleure qualité.

Tous ces facteurs rassemblés ont conduit de nombreux acteurs malveillants à finalement considérer que les problèmes posés par les ransomwares étaient supérieurs à leurs avantages, un jugement renforcé par la montée en puissance du cryptominage, lequel règle la question des victimes peu coopératives.

Ceci étant, les ransomwares ont beau être sur le déclin, ils sont toutefois loin de disparaître.

Les cryptomineurs règnent en maîtres

Les mineurs de cryptomonnaie sont peut-être les petits nouveaux, mais ils prennent clairement la relève. Possibilités de gains élevés, faible risque d'être découvert ou stoppé : les cybercriminels voient en cet outil un véritable paradis de la génération de revenus.

D'après Check Point, « toutes les dix minutes, Bitcoin valide un nouveau bloc de transactions dans son registre et accorde 12,5 BTC à ses mineurs. Au taux de change actuel du Bitcoin (10 515 $ au 7 mars 2018), cela représente environ 130 000 $ versés aux mineurs toutes les dix minutes, soit 6,8 milliards de dollars par an ». Avec un tel potentiel de profit, rien d'étonnant à ce que les cryptomineurs aient volé la première place aux ransomwares. Les versements de rançons ont été réalisés quasi exclusivement en monnaie virtuelle intraçable. Les cryptomineurs se passent d'intermédiaire pour aller directement à la source.

Page 13: Skybox Security VULNERABILITY AND THREAT …...menaces. Le présent rapport aborde les nouvelles vulnérabilités publiées en 2018, les derniers exploits conçus, les nouveaux malwares

Vulnerability and Threat Trends Report 13

Introduction au cryptominage

Fondamentalement, le cryptominage utilise la puissance de calcul pour créer de nouveaux blocs dans la blockchain des cryptomonnaies telles que le Bitcoin. Au fil de l'ajout de nouveaux blocs dans la chaîne, la puissance nécessaire s'accroît. Le cryptominage commence à revêtir un caractère malveillant dès lors qu'il exploite la puissance de calcul de tiers sans l'autorisation explicite de ces derniers.

Sur l'année 2017, le marché des cryptomonnaies a été multiplié par près de vingt. À l'heure actuelle, on dénombre plus de 1 500 types différents de cryptomonnaies. Cette croissance continue a attiré l'attention des acteurs malveillants motivés par l'appât du gain.

Le cryptominage malveillant à but purement lucratif

Les cybercriminels trouvent aujourd'hui un intérêt à exploiter les ressources de calcul de systèmes compromis

dans le but de miner de la monnaie virtuelle. Ils ciblent des serveurs Windows, des ordinateurs portables, des

appareils Android voire même des points terminaux de l'Internet des Objets. Le cryptominage a engendré sa

propre catégorie de malwares, avec des applications dédiées aux mineurs, des applications par navigateur ou

encore des voleurs de portefeuilles de cryptomonnaie.

Par comparaison avec les autres types de malwares, le minage non autorisé sur un hôte reste souvent non détecté ou simplement considéré comme une nuisance. En étant en mesure de passer inaperçus, les cybercriminels réduisent les risques. Plus longtemps ils restent non détectés, plus ils peuvent miner de cryptomonnaie. C'est cette longévité des gains qui fait que les mineurs parviennent à rivaliser avec les versements ponctuels générés par les ransomwares.

En quoi le cryptominage non autorisé est-il un problème pour les entreprises ?

Dans un environnement d'entreprise, le cryptominage malveillant ou non autorisé peut avoir un impact majeur. Sa consommation en ressources de calcul est telle que les équipements vitaux de l'entreprise peuvent ralentir

ou cesser de fonctionner de manière efficace. Par ailleurs, il laisse une porte ouverte à d'autres malwares plus

destructeurs ou perturbateurs capables de se répandre à tous les échelons de l'entreprise.

Enfin, une grande entreprise constitue une importante opportunité pour un pirate informatique, qui dispose

ainsi d'une vaste capacité de calcul potentielle sans que personne ne s'en aperçoive.

Comment vous prémunir

Les malwares de cryptominage s'appuient souvent sur l'exploitation de vulnérabilités. Corriger ces vulnérabilités, notamment sur les serveurs les plus importants, est la première démarche à effectuer. Il est

également nécessaire de veiller à ce que des contrôles de sécurité appropriés soient mis en place autour des

serveurs afin de limiter l'exposition de ces derniers.

Les entreprises et les particuliers ont aussi la possibilité de faire barrage aux logiciels de cryptominage basés

sur le navigateur en installant un module d'extension qui les prévient lorsqu'un site tente d'utiliser leur machine

pour miner ou qui bloque les domaines dédiés au minage.

Enfin, chacun doit être vigilant (comme toujours) et éviter les e-mails d'hameçonnage contenant des pièces jointes et liens suspects, vérifier et revérifier l'adresse du portefeuille vers lequel envoyer de la cryptomonnaie,

et s'abstenir de télécharger des applications mobiles à partir d'une source autre que le magasin d'applications

officiel.

Page 14: Skybox Security VULNERABILITY AND THREAT …...menaces. Le présent rapport aborde les nouvelles vulnérabilités publiées en 2018, les derniers exploits conçus, les nouveaux malwares

Vulnerability and Threat Trends Report 14

CONCLUSION

Afin de bien hiérarchiser les mesures correctives, les entreprises doivent garder un œil sur le paysage actuel des menaces. Les vulnérabilités, les exploits et les menaces évoluent, les stratégies de défense doivent donc évoluer avec elles. Rester au courant des dernières menaces, et adopter des mesures proactives en conséquence, peut faire la différence entre une simple intrusion et une cyberattaque ravageuse ou une violation de données.

Intégrer systématiquement la connaissance des menaces dans votre gestion des vulnérabilités et dans votre programme global de sécurité est essentiel pour concentrer les efforts là où ils doivent l'être. En associant les informations relatives à vos vulnérabilités, à vos équipements, à votre topologie de réseau et à vos contrôles de sécurité avec la connaissance du paysage des menaces tel qu'il existe aujourd'hui, votre entreprise aura la garantie que ses ressources sont mobilisées prioritairement sur les risques les plus susceptibles d'être exploités par un attaquant.

Page 15: Skybox Security VULNERABILITY AND THREAT …...menaces. Le présent rapport aborde les nouvelles vulnérabilités publiées en 2018, les derniers exploits conçus, les nouveaux malwares

www.skyboxsecurity.com | [email protected] | +1 408 441 8060

Copyright © 2018 Skybox Security, Inc. Tous droits réservés. Skybox est une marque de commerce de Skybox Security, Inc. Toutes les autres marques, déposées ou non, sont la propriété exclusive de leurs détenteurs respectifs. 07172018

15

À propos de ce rapport

Toutes les informations et données contenues dans le présent rapport sans référence explicite sont fournies par le Skybox™ Research Lab, une équipe d'analystes de la sécurité qui passent quotidiennement au crible les données provenant de dizaines de feeds et sources de sécurité et qui enquêtent sur les sites du dark web. Le Research Lab valide et améliore les données via une analyse aussi bien automatisée que manuelle, et des analystes viennent apporter leurs connaissances concernant les tendances en matière d'attaques, de cyberévénements et de TTP des pirates d'aujourd'hui. Leurs enquêtes en continu permettent de déterminer quelles vulnérabilités sont exploitées «in the wild» et utilisées dans les logiciels criminels distribués tels que les ransomwares, les malwares, les kits d'exploitation et les autres attaques exploitant les vulnérabilités tant côté client que côté serveur. Ces informations sont intégrées dans l'approche de gestion des vulnérabilités axée sur les menaces (TCVM) des solutions de gestion des vulnérabilités proposées par Skybox, consistant à faire passer la correction des vulnérabilités exposées ou activement exploitées avant celle des autres vulnérabilités connues.

Pour plus de renseignements au sujet de la méthodologie du Skybox Research Lab et pour connaître les dernières informations sur les vulnérabilités et les menaces, rendez-vous sur www.vulnerabilitycenter.com.

À propos de Skybox Security Skybox Security fournit la plate-forme de gestion de la cybersécurité la plus importante de l'industrie, pour répondre aux défis de sécurité au sein de réseaux complexes. En s'intégrant à plus de 120 technologies réseau et de sécurité, la suite Skybox™ Security offre une visibilité complète de la surface d'attaque et le contexte nécessaire pour identifier et corriger rapidement les vulnérabilités et les faiblesses de sécurité. Nos outils d'analyse, d'automatisation et de Business Intelligence améliorent l'efficacité et la performance des plus grandes entreprises internationales en termes de gestion des vulnérabilités et des menaces, de gestion des pare-feu et des politiques de sécurité.