in

La tempête après le calme : Proofpoint dresse le bilan des menaces au troisième trimestre (ransomware Locky, menaces sur les réseaux sociaux, attaques BEC, etc.)

Après un deuxième trimestre marqué par une panne majeure du botnet Necurs et le calme des campagnes d’e-mails infectés qui s’en est suivi, la tendance au troisième trimestre s’est totalement inversée avec un volume record de messages, en grande majorité destinés à propager le ransomware Locky. Mais le troisième trimestre s’est également caractérisé par une diversification et une évolution notables d’autres types de ransomwares et de chevaux de Troie bancaires.

D’une part, nous avons observé un niveau de sophistication croissant des macros infectées, avec de nouvelles techniques de contournement des sandbox et des attaques mieux ciblées, ainsi qu’une évolution des techniques d’attaque BEC (Business Email Compromise) ou « fraude au président ». D’autre part, le volume de messages utilisés pour distribuer le ransomware Locky via des documents infectés et du code JavaScript en pièces jointes s’est, certains jours, chiffré à des centaines de millions d’e-mails, les pirates ciblant des régions entières.

L’activité des kits d’exploitation s’est considérablement ralentie par rapport au pic de janvier, mais les opérations de malvertising reposant sur des kits d’exploitation ont atteint un degré de sophistication et une ampleur sans précédent. Dans le même temps, les kits d’exploitation et les attaques zero day sur mobiles ont commencé à combler le vide laissé par la perte de vitesse des kits d’exploitation pour PC. Les menaces sur les terminaux mobiles et les réseaux sociaux, en lien avec des phénomènes populaires tels que Pokémon GO et les Jeux olympiques de Rio, ont également fait les gros titres.

Ci-après figurent les principales conclusions du troisième trimestre 2016.

Principales conclusions

  • Le volume d’e-mails malveillants contenant des pièces jointes JavaScript a augmenté de 69 % par rapport au deuxième trimestre, atteignant son plus haut niveau jamais enregistré. De nouvelles campagnes d’e-mails avec différents types de pièces jointes ont battu le record du deuxième trimestre pour culminer à des centaines de millions de messages par jour. Les pièces jointes JavaScript ont continué à dominer ces campagnes d’e-mails de très grande envergure, les auteurs du ransomware Locky introduisant par ailleurs de nouveaux types de fichiers en pièces jointes.
  • La plupart des e-mails accompagnés de documents malveillants en pièces jointes transportaient le ransomware populaire Locky. Parmi les milliards de messages renfermant des documents malveillants en pièces jointes, 97 % étaient infectés par le ransomware Locky, soit 28 % de plus qu’au deuxième trimestre et 64 % de plus qu’au premier trimestre, période à laquelle Locky a été découvert.
  • Le quatrième trimestre 2015 a vu le nombre de nouvelles variantes de ransomwares multiplié par dix. Les ransomwares ont continué à se diversifier, en particulier les souches distribuées au moyen de kits d’exploitation. Parmi les variantes diffusées via des kits d’exploitation et des campagnes d’e-mails de moindre envergure, CryptXXX est resté la principale charge utile de ransomware et a même fait son apparition dans une campagne de spams.
  • Les cybercriminels continuent à perfectionner leurs techniques d’attaques BEC. Une attaque BEC consiste à usurper l’identité d’un haut dirigeant pour demander à ses collègues de lui transférer de l’argent. Les cas d’usurpation d’identité (spoofing) de type « Reply-to » ont chuté d’environ 30 % depuis début 2016, tandis que ceux basés sur le « nom d’affichage » sont en hausse et comptent pour près d’un tiers des attaques BEC totales. Cette évolution montre bien que les pirates ne cessent de perfectionner et d’adapter leurs techniques. Les méthodes « ordinaires » d’hameçonnage des identifiants de connexion n’ont cependant toujours pas été détrônées et sont de plus en plus sophistiquées.
  • Diversification des chevaux de Troie bancaires et attaques personnalisées. Après une période de calme relatif, le très populaire cheval de Troie bancaire Dridex a refait surface dans des campagnes ciblées de plus grande ampleur que celles du deuxième trimestre, mais néanmoins nettement plus modestes que les campagnes massives (à l’époque) de 2015. D’autres chevaux de Troie bancaires, comme Ursnif, sont également apparus dans des campagnes hautement personnalisées totalisant des centaines de milliers de messages, une tendance amorcée au deuxième trimestre et qui s’est poursuivie au troisième trimestre. Parallèlement, un large éventail de chevaux de Troie bancaires a été observé dans des campagnes de malvertising.
  • L’activité des kits d’exploitation s’est maintenue à un niveau stable, mais reste bien en deçà des pics de 2015. Au troisième trimestre, l’activité totale des kits d’exploitation a décliné de 65 % par rapport au deuxième trimestre et de 93 % par rapport à son plus haut niveau enregistré en janvier 2016, même si cette baisse semble s’être stabilisée. Avec la disparition d’Angler, autrefois populaire, Neutrino a cédé la place au kit d’exploitation RIG qui a dominé le troisième trimestre.
  • Le phénomène Pokémon GO a engendré des contrefaçons renfermant des logiciels malveillants. Des logiciels malveillants, sous forme d’applications clones infectées téléchargées en dehors de la boutique officielle, de modules complémentaires dangereux et d’autres applications à risque, sont venus se greffer sur le succès du jeu. Les utilisateurs peuvent télécharger des applications depuis n’importe quelle source, et même les principales boutiques d’applications assurent un filtrage limité des applications et des mises à jour.
  • iOS et Android ciblés par les kits d’exploitation et les attaques zero day sur mobiles. Aujourd’hui, la plupart des terminaux mobiles présentent entre 10 et 20 vulnérabilités zero day exploitables. Environ 30 % d’entre elles sont critiques et permettent à des pirates d’exécuter du code malveillant sur les terminaux infectés.
  • Contenu négatif en hausse sur les réseaux sociaux. Le contenu négatif ou potentiellement préjudiciable, comme les spams, le langage réservé à un public adulte et la pornographie, a augmenté de 50 % au deuxième trimestre.
  • L’hameçonnage sur les réseaux sociaux a doublé depuis le deuxième trimestre. Les réseaux sociaux constituent un terrain fertile pour l’hameçonnage des identifiants de connexion et des informations financières, une technique utilisée par les pirates pour soutirer aux utilisateurs des réseaux sociaux leurs identifiants de compte. Les comptes frauduleux, employés dans un type d’attaque que nous avons baptisé « hameçonnage Angler », ont ouvert la voie.
  • Hausse de la contamination croisée entre les terminaux mobiles et les réseaux sociaux. Des événements très médiatisés comme les Jeux olympiques de Rio et Pokémon GO ont favorisé la propagation de logiciels malveillants mobiles, notamment des exploits zero day, sur les réseaux sociaux.
Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.