Les entreprises françaises attaquées 355 fois par semaine en moyenne, Jsecoin principal logiciel malveillant en France, + 35% des entreprises touchées par une attaque mobile.
Check Point® Software Technologies Ltd.,l’un des principaux fournisseurs de solutions de cybersécurité dans le monde, dévoile son rapport sur les menaces en France au cours du 1er semestre 2019.
Parmi les principales menaces observées, la palme revient à l’extracteur de monnaie Jsecoin. Chaque semaine, 15,9% des entreprises françaises subissent ce fléau invisible qui affecte directement leur productivité ; en ce qui concerne les attaques via mobiles, 15,5% des entreprises en sont atteintes au travers de chevaux de Troie bancaires ou encore de contournement de bacs à sable.
Enfin, Check Point constate que 51% des fichiers malveillants ont été livrés par le web et que le type de vulnérabilité le plus courant reste la fuite d’informations touchant 70% des entreprises.
Avec une moyenne de 355 attaques par semaine, les entreprises françaises ont connu un mois d’avril chargé avec un pic de 580 attaques. Par ailleurs, plus de 35% des entreprises ont été touchées par une attaque mobile en 2019, un chiffre en augmentation de plus de 50% par rapport à 2018.
Dans le reste du monde, Check Point observe une augmentation marquée des attaques sur mobiles qui affectent 20,4% d’entreprises, suivies de l’extraction de cryptomonnaie pour 14,3% d’entre elles.
Panorama des menaces : fort accroissement des attaques mobiles et de la supplychain
- Des logiciels rançonneurs pointus qui modifient leur approche. Plutôt que de se répandre massivement, ils lancent des attaques sur mesure contre les entreprises, en prenant notamment le contrôle de leurs actifs les plus importants et en ne leur laissant pas d’autre choix que de payer une rançon, pouvant parfois atteindre plusieurs millions d’euros.
- Des failles de sécurité du Cloud conduisant à de méga fuites de données. Erreurs de configuration et mauvaise gestion des ressources restent les menaces les plus importantes pour l’écosystème du Cloud. Le vol massif de données est la conséquence la plus courante des attaques contre le Cloud. Les données dérobées peuvent inclure des informations confidentielles identifiables, des données financières, des fichiers personnels ou professionnels.
- Des attaques par email – En 2019, Check Point a observé une augmentation considérable des escroqueries par email faisant appel au chantage par « sextorsion » et aux « arnaques au président » (qui tentent de convaincre les victimes de payer sans contenir nécessairement de pièces jointes ou de liens malveillants). Les cybercriminels ont également utilisé des techniques d’évasion pour contourner les solutions de protection de la messagerie.
- Des attaques mobiles évolutives en forte augmentation. Les chevaux de Troie bancaires sur mobile se sont infiltrés avec succès, une autre méthode observée est l’utilisation croissante de techniques de contournement des bacs à sable, notamment l’utilisation d’une icône transparente sans nom d’application et la surveillance des capteurs de mouvement des appareils.
- Des attaques contre la chaîne logistique logicielle –Très répandues en 2019, dans ce type d’attaque, les pirates injectent généralement du code malveillant dans un logiciel légitime, en modifiant et en infectant l’un des modules composant le logiciel. De cette manière, les attaquants sont capables d’installer leur logiciel malveillant dans un vaste rayon de diffusion.
Le Top 5 des logiciels malveillants : Jsecoin, AgentTesla, Emotet, Formbook et Tofsee
- Jsecoin, l’extracteur de cryptomonnaie conçu pour extraire des Moneros en ligne lorsqu‘un utilisateur consulte une page web particulière. Le code JavaScript qui y est implanté utilise une part importante des ressources de calcul des machines pour extraire de la cryptomonnaie, ce qui impacte fortement la performance des systèmes.
- AgentTesla est un cheval de Troie d’accès à distance avancé qui fonctionne comme enregistreur de frappe et voleur de mots de passe. Actif depuis 2014, il est en mesure de surveiller et collecter les frappes au clavier, le contenu du presse-papiers, d’effectuer des captures d’écran et d’exfiltrer les identifiants de différent logiciels installés sur la machine de la victime.
- Emotet, autre cheval de Troie avancé autonome et modulaire, autrefois cheval de Troie bancaire. Désormais utilisé en tant que diffuseur de logiciels malveillants, notamment le ransomware Ryuk. Il utilise plusieurs méthodes et techniques d’évasion pour maintenir la persistance et échapper à toute détection. Il eut se propager de manière autonome à partir d’ordinateurs infectés via des emails de phishing contenant des pièces jointes ou des liens malveillants.
- Formbook est un ver informatique ciblant le système d’exploitation Windows. Détecté en 2016, il est commercialisé dans les forums de piratage underground pour ses techniques de fraude avancées à un prix relativement bas ; il collecte des identifiants dans les différents navigateurs web, effectue des captures d’écran, surveille, et enregistre les frappes au clavier, et télécharge et exécute des fichiers en fonction des ordres reçus depuis un serveur de commande et de contrôle.
- Tofsee est un diffuseur de logiciels malveillants ciblant également la plate-forme Windows. Il tente de télécharger et d’exécuter des fichiers malveillants supplémentaires sur les systèmes ciblés, et peut télécharger et afficher une image à un utilisateur dans le but de masquer son véritable objectif.
Petit florilège des attaques et fuites de données majeures en France,
- 09/2019 – La police française a désinfecté à distance plus de 850 000 ordinateurs infectés par le botnet Retadup, principalement utilisés pour l’extraction de cryptomonnaie. En prenant le contrôle de son serveur hébergé en France, la police a utilisé une faille dans son protocole de communication pour ordonner aux instances du botnet de s’autodétruire.
- 04/2019 – Des pirates éthiques ont réussi à s’introduire dans l’application de messagerie sécurisée du gouvernement français. Bien qu’elle soit disponible dans l’app store de Google, l’application chiffrée de bout en bout nouvellement lancée n’était censée être accessible qu’aux fonctionnaires et aux responsables politiques disposant de comptes de messagerie associés au gouvernement.
- 01/2019 – Zerodium, le fournisseur français d’exploitations de vulnérabilités, qui achète et vend des vulnérabilités zero-day aux agences gouvernementales du monde entier, a annoncé une augmentation de ses prix. Une récompense de 2 000 000 dollars est offerte pour un jailbreak persistant sur iOS pouvant être exécuté à distance sans aucune interaction de la part de l’utilisateur.
- 01/2019 – APT28, le groupe de pirates russe, a utilisé des emails de phishing sur des organisations politiques en Belgique, en France, en Allemagne, en Pologne, en Roumanie et en Serbie pour collecter des identifiants de connexion ou les infecter par des logiciels malveillants.
- 12/2018 – Le logiciel malveillant Shamoon, réputé pour son utilisation lors de l’attaque majeure contre la compagnie pétrolière Saudi Aramco, a refait surface en France sous la forme d’une nouvelle variante du logiciel malveillant, signée avec un certificat Baidu. Il utilise une image anti-américaine et il est difficile de déterminer les cibles de cette variante.
Et dans le monde
- Une base de données contenant des informations personnelles de 92 millions de citoyens brésiliens est proposée à la vente aux enchères sur les marchés underground. Totalisant 16 Go, les dossiers incluent les noms, dates de naissance et identifiants de contribuable. On soupçonne que l’origine des données était un organisme gouvernemental.
- Un ancien employé d’American Express est soupçonné d’avoir détourné des données client pour bénéficier d’un accès non autorisé aux informations des titulaires de cartes et effectuer des escroqueries. Les données détournées incluent noms, adresses, numéros de sécurité sociale et numéros de cartes bancaires.
- Un ancien ingénieur de Yahoo! a piraté les comptes de près de 6 000 utilisateurs de Yahoo!, principalement de jeunes femmes, à la recherche d’images et de vidéos privées. Il a également été accusé d’avoir utilisé les informations obtenues à partir des comptes piratés pour accéder à leurs autres comptes en ligne, notamment iCloud, Gmail et Facebook.
- Un serveur ElasticSearch non protégé a été découvert en ligne, contenant plus de 20 millions de dossiers fiscaux appartenant à des citoyens russes. Les données exposées comprenaient des informations fiscales, des numéros d’identification et d’autres informations personnelles identifiables, portant sur la période de 2009 à 2016.
- Check Point Research a découvert de nouvelles informations sur une campagne d’espionnage orchestrée par le gouvernement égyptien. Des journalistes, des politiciens, des défenseurs des droits de l’homme et des avocats en Egypte sont les cibles de la campagne. La majeure partie a été menée à l’aide d’applications mobiles malveillantes, utilisées pour collecter les identifiants de connexion aux comptes de messagerie, contourner les paramètres de confidentialité et stocker les journaux d’appels.
- Quatre chaînes de magasins d’alimentation aux États-Unis ont révélé que leurs systèmes de point de vente (TPV) avaient été infectés au cours de l’année écoulée par des logiciels malveillants effaçant les informations de paiement des clients lors du passage en caisse. L’une de ces chaînes, qui possède également des terminaux de point de vente pour pompes à carburant, était infectée depuis décembre 2018.
Pour en savoir plus : https://research.checkpoint.com/