TECH NEWS
Check Point Research : La pandémie de COVID-19 est le moteur des cyberattaques criminelles et politiques, sur les réseaux, le Cloud et les mobiles
Le « Rapport sur les tendances des cyberattaques au premier semestre 2020 » révèle comment les cybercriminels ont ciblé tous les secteurs avec des attaques sur le thème pandémique, et souligne l'augmentation des cyberactivités sponsorisées par des États
July 27, 2020
Check Point Software Technologies Ltd. , l’un des principaux fournisseurs de solutions de cybersécurité dans le monde, a publié aujourd’hui son « Rapport sur les tendances des cyberattaques au premier semestre 2020 », qui montre comment les cybercriminels et les pirates sponsorisés par des États ou motivés par des objectifs politiques ont exploité la pandémie de COVID-19 et des thèmes associés pour cibler les entreprises de tous les secteurs, y compris les gouvernements, l’industrie, la santé, les prestataires de services, les infrastructures essentielles et les consommateurs.
Le nombre d’attaques de phishing et de logiciels malveillants liées à COVID-19 a augmenté de façon spectaculaire, passant de moins de 5 000 par semaine en février à plus de 200 000 par semaine fin avril. De plus, en mai et juin, alors que certains pays commençaient à assouplir les mesures de confinement, les pirates ont également intensifié les attaques autres que sur le thème de COVID-19, ce qui a entraîné une augmentation de 34 % de tous les types de cyberattaques dans le monde à la fin juin par rapport à mars et avril.
Parmi les principales tendances révélées dans le rapport :
- La cyberguerre s’intensifie : les cyberattaques sponsorisées par des États ont augmenté en intensité et en gravité au cours du premier semestre tandis que les États cherchaient à recueillir des renseignements sur leurs rivaux ou perturber leur gestion de la pandémie. Cela s’est étendu au ciblage des organisations humanitaires et de santé telles que l’OMS, qui a signalé une augmentation de 500 % des attaques.
- Les attaques de double-extorsion : En 2020, une nouvelle forme d’attaque de demande de rançon s’est largement répandue, dans laquelle les pirates exfiltrent de grandes quantités de données avant de les chiffrer. Les victimes qui refusent de payer la rançon sont menacées de la publication de leurs données, ce qui leur impose une pression supplémentaire pour répondre aux demandes des criminels.
- Les exploitations de vulnérabilités mobiles : Les pirates ont cherché de nouveaux vecteurs d’infection mobiles, améliorant leurs techniques pour contourner les protections et planter des applications malveillantes dans les app stores officielles. Dans un autre type d’attaque innovant, des pirates ont utilisé un système de gestion des appareils mobiles (MDM) d’une grande entreprise internationale pour diffuser des logiciels malveillants à plus de 75 % des appareils mobiles sous sa responsabilité.
- L’exposition des Clouds : La migration rapide vers les Clouds publics pendant la pandémie a entraîné une augmentation du nombre d’attaques visant les charges de travail et les données sensibles dans les Clouds. Les pirates utilisent également l’infrastructure dans le Cloud pour stocker les logiciels malveillants utilisés pour leurs attaques. En janvier, des chercheurs de Check Point ont découvert une vulnérabilité critique dans Microsoft Azure, une première dans le secteur, qui aurait permis à des pirates de compromettre les données et les applications des autres utilisateurs d’Azure, démontrant ainsi que les Clouds publics ne sont pas intrinsèquement sûrs.
« La réponse mondiale à la pandémie a transformé et accéléré les modèles d’attaques des pirates au cours du premier semestre de cette année, en exploitant les craintes autour de COVID-19 comme motif de leurs activités. Nous avons également vu apparaître de nouvelles vulnérabilités et de nouveaux vecteurs d’attaque majeurs, qui menacent la sécurité des entreprises dans tous les secteurs, » déclare Maya Horowitz, Directrice de la recherche et des renseignements sur les menaces chez Check Point. « Les experts de la sécurité doivent être conscients de l’évolution rapide de ces menaces afin qu’ils puissent assurer à leur entreprise le meilleur niveau de protection possible pendant le reste de l’année 2020. »
Les variantes de logiciels malveillants les plus courantes au cours du premier semestre 2020 étaient :
Principaux logiciels malveillants du premier semestre 2020
- Emotet (touchant 9 % les entreprises dans le monde entier) – Un cheval de Troie avancé, autonome et modulaire. Auparavant un cheval de Troie bancaire, il est actuellement utilisé pour diffuser d’autres logiciels malveillants ou mener d’autres campagnes malveillantes. Il utilise plusieurs techniques de persistance et d’évasion pour échapper à toute détection, et peut être transmis via des emails de spam et de phishing contenant des pièces jointes ou des liens malveillants.
- XMRig (8 %) – Un logiciel open source d’extraction de cryptomonnaie Monero utilisant les ressources du processeur. Les pirates détournent souvent ce logiciel open source en l’intégrant à leurs logiciels malveillants pour mener des activités illégales d’extraction de cryptomonnaie sur les appareils des victimes.
- Agent Tesla (7%) – Un cheval de Troie d’accès à distance avancé qui fonctionne comme enregistreur de frappe et voleur de mots de passe. Il est actif depuis 2014. Il est en mesure de surveiller et collecter les frappes au clavier, le contenu du presse-papiers, d’effectuer des captures d’écran et d’exfiltrer les identifiants de différents logiciels installés sur la machine de la victime (y compris Google Chrome, Mozilla Firefox et le client de messagerie Microsoft Outlook). Agent Tesla est vendu sur différents marchés en ligne et forums de piratage.
Principaux extracteurs de cryptomonnaie du premier semestre 2020
- XMRig (responsable de 46 % de toutes les activités d’extraction de cryptomonnaie dans le monde entier) – Un logiciel open source utilisant les ressources du processeur pour extraire de la cryptomonnaie Monero. Il a été découvert en mai 2017. Les pirates détournent souvent ce logiciel open source en l’intégrant à leurs logiciels malveillants pour mener des activités illégales d’extraction de cryptomonnaie sur les appareils des victimes.
- Jsecoin (28 %) – Un extracteur de cryptomonnaie conçu pour extraire des Moneros en ligne lorsqu’un utilisateur consulte une page web particulière. Le JavaScript implanté utilise d’importantes ressources de calcul des machines des utilisateurs pour extraire de la cryptomonnaie, ce qui a un impact sur la performance de leur système. JSEcoin a cessé ses activités en avril 2020.
- Wannamine (6 %) – Un ver sophistiqué d’extraction de cryptomonnaie Monero qui se propage en exploitant la vulnérable EternalBlue. Il implémente un mécanisme de propagation et des techniques de persistance en exploitant les abonnements aux événements de Windows Management Instrumentation (WMI).
Principaux logiciels malveillants mobiles du premier semestre 2020
- xHelper (responsable de 24 % de toutes les attaques de logiciels malveillants sur les mobiles) – Un logiciel malveillant Android qui affiche principalement des publicités et des notifications intrusives. Il est très difficile à supprimer une fois installé en raison de ses fonctionnalités de réinstallation. Observé pour la première fois en mars 2019, xHelper a infecté depuis plus de 45 000 appareils.
- PreAMo (19 %) – Un logiciel malveillant de type cliqueur pour les appareils Android signalé pour la première fois en avril 2019. Il génère des revenus en imitant le comportement des utilisateurs et en cliquant sur les publicités à leur insu. Découvert sur Google Play, le logiciel malveillant a été téléchargé plus de 90 millions de fois via six applications mobiles différentes.
- Necro (14 %) – Un cheval de Troie de téléchargement de logiciels malveillants sur Android. Il est capable de télécharger d’autres logiciels malveillants, d’afficher des publicités intrusives et de voler de l’argent en facturant des abonnements.
Principaux logiciels malveillants bancaires du premier semestre 2020
- Dridex (responsable de 27 % de toutes les attaques de logiciels malveillants bancaires) – Un cheval de Troie bancaire qui cible la plateforme Windows. Il est diffusé par des campagnes de spam et des kits d’exploitation de vulnérabilités, et s’appuie sur des WebInjects pour intercepter et rediriger les identifiants bancaires vers un serveur contrôlé par les pirates. Dridex contacte un serveur distant, envoie des informations sur le système infecté, et peut également télécharger et utiliser des modules supplémentaires pour le contrôle à distance.
- Trickbot (20 %) – Un cheval de Troie bancaire modulaire qui cible la plateforme Windows, et est principalement diffusé via des campagnes de spam ou d’autres familles de logiciels malveillants telles qu’Emotet.
- Ramnit (15 %) – Un cheval de Troie bancaire modulaire découvert en 2010. Il dérobe des informations de session web, donnant ainsi aux opérateurs du ver la possibilité d’obtenir les identifiants de tous les services utilisés par les victimes, notamment les comptes bancaires, les comptes d’entreprise et les comptes de réseaux sociaux.
Le « Rapport sur les tendances des cyberattaques au premier semestre 2020 » fournit un aperçu détaillé du paysage des cybermenaces. Ces résultats sont basés sur des données tirées de Check Point ThreatCloud entre janvier et juin 2020, mettant en évidence les tactiques clés utilisées par les cybercriminels pour attaquer les entreprises. Un exemplaire intégral du rapport est disponible ici.