Les faits saillants du ‘McAfee Labs Threat Report’
- 2016 : l’année du ransomware : le volume de nouveaux échantillons de ransomwares référencés a cru de 80 % depuis le début de 2016, cependant leur croissance devrait ralentir au courant du second semestre 2017.
- L’état des SOCs en 2016 : 93 % des responsables de centres d’opération de la sécurité admettent ne pas être en mesure de hiérarchiser les menaces en fonction de leur dangerosité | 67 % ont enregistré une augmentation du nombre d’incidents de sécurité | Un quart des alertes de sécurité n’est pas suffisamment examiné par les entreprises.
- La dissimulation de chevaux de Troie au sein de logiciels légitimes.
- Les menaces du 3ème trimestre : l’adware Bundlore a généré une augmentation de 637 % de nouveaux malwares ciblant le système d’exploitation de Mac OS, néanmoins le nombre de menaces dont il est victime reste encore assez bas | Baisse des nouveaux types de malwares de 21 % | Les botnets demeurent des menaces privilégiées par les hackers (Necurs, Waponi, etc.)
2016 : L’année des ransomwares
Le McAfee Labs a enregistré une hausse de 80 % des ransomwares sur la période de janvier à octobre 2016, soit le total de 3 860 603 nouveaux échantillons identifiés. Au-delà de l’impressionnante croissance du volume, cette année, le ransomware a connu des avancées techniques remarquables. Outre le cryptage partiel ou total des disques et des sites Web utilisés par des applications légitimes, les cybercriminels ont doté leurs attaques de techniques d’anti-sandboxing. Ils utilisent également des kits d’exploits plus sophistiqués pour les propager ainsi que des prestations Ransomware-as-a-Service.
« Le McAfee Labs avait prédit une croissance exponentielle des attaques par ransomware entre 2015 et 2016 », précise Fabien Rech, Directeur Général France d’Intel Security. « Cette année a été marquée par des attaques plus sophistiquées qui ont révélé leur potentiel impact à la fois auprès des médias et des entreprises. Face à la multiplicité et à la complexité de ces attaques, les acteurs de la cyber-sécurité et les institutions gouvernementales se sont mobilisés dans la lutte contre les cybercriminels. C’est pourquoi, nous prévoyons un ralentissement de la croissance des attaques de ransomware au second semestre 2017.
L’état des SOCs
Le McAfee Labs a analysé l’état et les usages des SOCs par les entreprises. D’après les responsables SOC sollicités, la priorité numéro 1 pour leur développement est d’améliorer la capacité des équipes à répondre aux attaques identifiées et à empêcher toute récidive.
Parmi les principaux constats figurent :
- Une surcharge d’alertes. En moyenne, les entreprises, indépendamment de leur taille et de leur situation géographique, ne sont pas en mesure d’examiner suffisamment un quart des alertes de sécurité qu’elles reçoivent.
- Un problème de tri. Face à une surcharge d’alertes de sécurité, 93 % des entreprises s’avouent incapables de trier l’ensemble des menaces potentielles.
- Une hausse des incidents de sécurité est constatée par 67 % des répondants. Parmi eux, 57 % estiment que cette hausse est due à la croissance du nombre d’attaques. Parallèlement, 73 % pensent qu’une meilleure capacité de détection des attaques leur a apporté une visibilité plus complète du volume réel d’incidents.
- Une approche proactive VS réactive. La majorité des répondants affirme avoir progressé dans l’adoption d’une approche proactive de la cyber-sécurité. Néanmoins, 26 % des entreprises agissent encore en mode réactif, en s’appuyant sur une approche ad-hoc pour la gestion des opérations de sécurité, la détection de menaces et la réponse aux incidents.
- La dimension d’un facteur de risque inconnu. Plus des deux tiers (68 %) des investigations effectuées par les entreprises impliquaient une entité tierce, soit en tant qu’attaque extérieure ciblée, soit en tant que menace interne à l’entreprise.
L’émergence des chevaux de Troie dans des logiciels légitimes
- Le patching des fichiers exécutables au moment de leur téléchargement via des attaques man-in-the-middle (MITM),
- Le regroupement des fichiers « propres » et « infectés » à l’aide des programmes de type « binder » ou « joiner »,
- La modification des fichiers exécutables via des correcteurs (patchers), tout en maintenant le fonctionnement sans heurts des applications,
- La modification par le code interprété, open-source ou décompilé.
Les menaces du 3ème trimestre 2016
Pour plus d’informations, consultez l’intégralité du rapport ‘McAfee Labs Threats Report : December 2016’.