MCAFEE LABS RAPPORT SUR LE PAYSAGE DES MENACES
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
RAPPORT M c A f e e L a b s R a p p o r t s u r l e p a y s a g e d e s m e n a c e s 0 4 . 2 1
RAPPORT
Sommaire
3 Lettre de notre analyste en chef
4 TABLEAU DE BORD McAFEE DES FICHIERS MALVEILLANTS
LIÉS À LA COVID-19
5 Introduction
6 Menaces par secteur et vecteurs d'attaque
7 Incidents de sécurité rendus publics, par continent
8 Incidents de sécurité rendus publics, par pays
9 Incidents de sécurité rendus publics, par secteur
10 Incidents de sécurité rendus publics, par vecteur
11 INCIDENTS LIÉS AU CLOUD PAR PAYS D'ORIGINE
12 Statistiques sur les logiciels malveillants
17 LOGICIEL MALVEILLANT SUNBURST ET COMPROMISSION
DE LA CHAÎNE LOGISTIQUE SOLARWINDS
18 PRINCIPALES TECHNIQUES MITRE ATT&CK UTILISÉES
PAR LES GROUPES CRIMINELS/APT
21 Principales familles et techniques de ransomwares
21 Principales familles, techniques MITRE ATT&CK et
secteurs les plus touchés
21 Principales techniques MITRE ATT&CK
23 Ressources
23 McAfee Labs et ses chercheurs sur Twitter
24 À propos de McAfee
24 À propos de McAfee Labs et McAfee Advanced
Threat Research
2 McAfee Labs — Rapport sur le paysage des menaces, AVRIL 2021RAPPORT
Rédaction et
recherches
Outre un référentiel des logiciels malveillants, ce
rapport propose une nouvelle analyse des menaces Christiaan Beek
Eoin Carroll
détectées en circulation. Nous avons également Mo Cashman
ajouté des statistiques détaillées sur les principales Sandeep Chandana
John Fokker
techniques MITRE ATT&CK utilisées par des Melissa Gaffney
Steve Grobman
groupes criminels/APT au 4e trimestre 2020. Tracy Holden
Tim Hux
Douglas McKee
Lettre de notre analyste en chef
Lee Munson
Bienvenue dans ce nouveau Rapport sur le paysage des menaces de McAfee Chris Palm
Labs®, qui dresse le bilan d'une fin d'année 2020 tumultueuse. Comme vous Tim Polzer
pourrez le constater, nous avons revu la présentation de notre état des lieux Thomas Roccia
des principales menaces dans un souci d'amélioration, de même qu'ajouté Raj Samani
de nombreuses nouvelles informations sur le paysage des menaces. Craig Schmugar
Par le passé, nos rapports présentaient les chiffres des principales menaces,
notamment celles figurant dans notre référentiel de logiciels malveillants.
Grâce au lancement de MVISION Insights en 2020, il est désormais possible
de suivre la prévalence des campagnes (et des indicateurs de compromission
associés) et de déterminer les cas détectés sur le terrain. Dès lors, ce rapport
inclut non seulement le référentiel des logiciels malveillants, mais également une
nouvelle analyse des menaces détectées en circulation. Nous avons également
ajouté des statistiques détaillées sur les principales techniques MITRE ATT&CK
utilisées par des groupes criminels/APT au 4e trimestre 2020.
Ces ajouts particulièrement pertinents contribuent à rendre notre rapport
encore plus intéressant ! Notre analyse ne s'arrête toutefois pas là. Ainsi, la fin du
4e trimestre 2020 a vu la révélation de la compromission de la chaîne logistique
SolarWinds, et ses conséquences pour les entreprises concernées. Ce rapport
présente les observations liées au logiciel malveillant SUNBURST, qui continue
à faire les gros titres au premier trimestre 2021.
Parallèlement à ces campagnes de menaces régulières, les effets de la pandémie
ont continué à se faire ressentir sur le paysage des menaces. Sur l'ensemble du
deuxième trimestre, le réseau mondial de McAfee, qui compte plus d'un milliard
de sondes, a enregistré une hausse de 605 % des menaces sur le thème de la
COVID-19. Comme vous pouvez le voir dans le Tableau de bord McAfee sur les
menaces liées à la COVID-19, les campagnes surfant sur la vague de la pandémie
n'ont cessé de progresser aux troisième et quatrième trimestres 2020.
Nous espérons que vous apprécierez la nouvelle présentation et le contenu
enrichi du Rapport sur le paysage des menaces de McAfee Labs.
— Raj Samani
Analyste en chef et Chargé de recherche McAfee
Twitter @Raj_Samani
3 McAfee Labs — Rapport sur le paysage des menaces, AVRIL 2021RAPPORT
ABLEAU DE BORD MCAFEE DES FICHIERS MALVEILLANTS LIÉS
T Lettre de notre analyste
À LA COVID-19 en chef
Introduction
Menaces par secteur
et vecteurs d'attaque
Statistiques sur les
logiciels malveillants
LOGICIEL MALVEILLANT
SUNBURST ET
COMPROMISSION DE LA
CHAÎNE LOGISTIQUE
SOLARWINDS
PRINCIPALES TECHNIQUES
MITRE ATT&CK UTILISÉES
PAR LES GROUPES
CRIMINELS/APT
Ressources
À propos de McAfee
À propos de McAfee Labs
et McAfee Advanced
Threat Research
Figure 1. Les cybercriminels ont continué à exploiter les difficultés engendrées
par la pandémie sur le plan privé et professionnel jusqu'à la fin de l'année 2020.
Le réseau mondial de McAfee, qui compte plus d'un milliard de sondes, a détecté
au total 445 922 menaces sur le thème de la COVID-19 au 2e trimestre 2020 (+605 %),
1 071 257 au 3e trimestre (+240 %) et 1 224 628 au 4e trimestre (+114 %).
4 McAfee Labs — Rapport sur le paysage des menaces, AVRIL 2021RAPPORT
Introduction Lettre de notre analyste
en chef
Dans ce rapport, McAfee® Labs s'intéresse aux menaces apparues au cours
des troisième et quatrième trimestres 2020. L'équipe McAfee Advanced Threat Introduction
Research a suivi, identifié et analysé sans relâche les causes et les conséquences
Menaces par secteur
des campagnes prédominantes et médiatiques qui ont ciblé les entreprises au et vecteurs d'attaque
deuxième semestre 2020.
Statistiques sur les
Le monde entier — entreprises incluses — s'est adapté aux restrictions liées logiciels malveillants
à la pandémie et aux enjeux continus du télétravail, face à des menaces pour la
sécurité toujours plus complexes et nombreuses. Si bon nombre des employés LOGICIEL MALVEILLANT
en télétravail ont gagné en compétences et en productivité, les entreprises ont SUNBURST ET
COMPROMISSION DE LA
quant à elles été confrontées à des campagnes liées à la COVID-19 toujours plus
CHAÎNE LOGISTIQUE
opportunistes et utilisant de nouvelles techniques malveillantes. Les campagnes
SOLARWINDS
de grande envergure, telles que celle associée à SUNBURST, et les nouvelles
tactiques de ransomware n'ont laissé aucun répit aux centres SOC. PRINCIPALES TECHNIQUES
MITRE ATT&CK UTILISÉES
Compte tenu des nouveaux défis auxquels font face les entreprises en 2021, il est PAR LES GROUPES
essentiel de sensibiliser vos collaborateurs, qu'ils travaillent sur site ou à distance, CRIMINELS/APT
aux menaces potentielles dissimulées dans des communications en apparence
normales. Maintenez vos collaborateurs en alerte et éprouvez leur capacité à Ressources
s'abstenir de cliquer sur des liens non vérifiés et d'ouvrir des pièces jointes à des
À propos de McAfee
e-mails externes. Comme le confirme ce rapport, les ransomwares et les logiciels
malveillants ciblant des vulnérabilités des applications professionnelles et des À propos de McAfee Labs
processus métier ont été très actifs au cours du deuxième semestre 2020 et et McAfee Advanced
restent dangereux, compte tenu de leur capacité à prendre le contrôle de réseaux Threat Research
et de données, et des coûts (chiffrés en millions) qu'ils engendrent en termes de
ressources et de restauration.
Les chercheurs de McAfee restent à l'affût des nouvelles tactiques et des
techniques persistantes et n'ont de cesse de bloquer les menaces ciblant
nos clients et la communauté de la sécurité. McAfee se démarque au sein
du secteur de la sécurité grâce à l'utilisation d'un milliard de sondes réparties
aux quatre coins du monde afin de fournir une cyberveille et des informations
pertinentes destinées à protéger votre entreprise et vos actifs, ainsi qu'à aider
vos collaborateurs à rester productifs, même en période de pandémie.
Consultez le Centre sur les menaces de McAfee pour profiter de nos recherches
de pointe et bénéficier de conseils pour lutter contre les menaces les plus récentes
et les plus dangereuses identifiées par notre équipe de recherche sur les menaces.
5 McAfee Labs — Rapport sur le paysage des menaces, AVRIL 2021RAPPORT
Menaces par secteur et vecteurs d'attaque
Lettre de notre analyste
en chef
En moyenne, McAfee Labs a observé 588 logiciels malveillants par minute au
troisième trimestre 2020, soit une hausse de 169 par minute (40 %). Au quatrième Introduction
trimestre, 648 logiciels malveillants en moyenne ont été détectés par minute,
Menaces par secteur
soit une hausse de 60 par minute (10 %). et vecteurs d'attaque
Secteurs ayant enregistré les hausses et baisses les plus importantes entre Statistiques sur les
les 3e et 4e trimestres 2020 : logiciels malveillants
Sciences et technologies +100 %
LOGICIEL MALVEILLANT
Administration publique +93 % SUNBURST ET
Enseignement -36 % COMPROMISSION DE LA
CHAÎNE LOGISTIQUE
Secteurs ayant enregistré les hausses SOLARWINDS
et baisses les plus importantes entre
les 3e et 4e trimestres 2020 PRINCIPALES TECHNIQUES
MITRE ATT&CK UTILISÉES
+100 % +93 % -36 % PAR LES GROUPES
CRIMINELS/APT
Ressources
À propos de McAfee
À propos de McAfee Labs
et McAfee Advanced
Threat Research
Sciences et Administration Enseignement
technologies publique
Vecteurs ayant enregistré les hausses les plus importantes entre les
3e et 4e trimestres 2020 :
Vulnérabilités +100 %
Logiciels malveillants +43 %
Attaques ciblées +43 %
Piratage de comptes +30 %
Vecteurs ayant enregistré les hausses
les plus importantes entre
les 3e et 4e trimestres 2020:
+100 % +43 % +43 % +30 %
Piratage
Vulnérabilités Attaques Logiciels
de
ciblées malveillants
comptes
6 McAfee Labs — Rapport sur le paysage des menaces, AVRIL 2021RAPPORT
Incidents de sécurité rendus publics, par continent ettre de notre analyste
L
en chef
Incidents de sécurité rendus publics par continent Introduction
(nombre de compromissions signalées)
enaces par secteur
M
et vecteurs d'attaque
Amérique
du Nord
tatistiques sur les
S
Plusieurs
logiciels malveillants
continents
LOGICIEL MALVEILLANT
SUNBURST ET
Europe
COMPROMISSION DE LA
CHAÎNE LOGISTIQUE
Asie SOLARWINDS
PRINCIPALES TECHNIQUES
Australie MITRE ATT&CK UTILISÉES
PAR LES GROUPES
0 50 100 150 200 250 300 CRIMINELS/APT
4 trim. 2019
e
1 trim. 2020
er
2 trim. 2020
e
3 trim. 2020
e
4 trim. 2020
e
Ressources
Source : McAfee Labs, 2020.
À propos de McAfee
Figure 2. Les incidents rendus publics ont bondi de 100 % en Europe entre les
3e et 4e trimestres 2020. L'Asie a quant à elle enregistré une hausse de 84 %
et l'Amérique du Nord de 36 %. propos de McAfee Labs
À
et McAfee Advanced
Threat Research
7 McAfee Labs — Rapport sur le paysage des menaces, AVRIL 2021RAPPORT
Incidents de sécurité rendus publics, par pays
Lettre de notre analyste
en chef
Dix pays les plus ciblés Introduction
Menaces par secteur
États-Unis et vecteurs d'attaque
Statistiques sur les
Plusieurs pays logiciels malveillants
LOGICIEL MALVEILLANT
S.O.
SUNBURST ET
COMPROMISSION DE LA
Grande-Bretagne CHAÎNE LOGISTIQUE
SOLARWINDS
Italie PRINCIPALES TECHNIQUES
MITRE ATT&CK UTILISÉES
PAR LES GROUPES
France
CRIMINELS/APT
Inde
Ressources
À propos de McAfee
Canada
À propos de McAfee Labs
et McAfee Advanced
Espagne Threat Research
Allemagne
Australie
Portugal
Japon
Israël
0 50 100 150 200 250
4 trim. 2019
e
1 trim. 2020
er
2 trim. 2020
e
3 trim. 2020
e
4 trim. 2020
e
Source : McAfee Labs, 2020.
Figure 3. Le Canada a enregistré une hausse notable entre les 3e et 4e trimestres 2020
(142 %). Aux États-Unis, la hausse des incidents a été de 27 %. Les incidents survenus
aux États-Unis représentent 47 % des incidents observés dans les dix principaux pays.
8 McAfee Labs — Rapport sur le paysage des menaces, AVRIL 2021RAPPORT
Incidents de sécurité rendus publics, par secteur
Lettre de notre analyste
en chef
Dix secteurs les plus ciblés Introduction
Menaces par secteur
Particuliers et vecteurs d'attaque
Statistiques sur les
Plusieurs logiciels malveillants
secteurs
LOGICIEL MALVEILLANT
SUNBURST ET
Secteur public
COMPROMISSION DE LA
CHAÎNE LOGISTIQUE
SOLARWINDS
Soins de santé
PRINCIPALES TECHNIQUES
MITRE ATT&CK UTILISÉES
Enseignement PAR LES GROUPES
CRIMINELS/APT
Finance/
Assurances
Ressources
À propos de McAfee
Fabrication
À propos de McAfee Labs
et McAfee Advanced
Threat Research
Technologie
Commerce/
Grande
distribution
Divertissement
Informations/
Communication
Autres services
0 30 60 90 120 150
4 trim. 2019
e
1 trim. 2020
er
2 trim. 2020
e
3 trim. 2020
e
4 trim. 2020
e
Source : McAfee Labs, 2020.
Figure 4. Les incidents rendus publics ciblant le secteur des technologies ont
augmenté de 100 % entre les 3e et 4e trimestres 2020. Le nombre d'incidents ciblant
le secteur public a quant à lui bondi de 93 %.
9 McAfee Labs — Rapport sur le paysage des menaces, AVRIL 2021RAPPORT
Incidents de sécurité rendus publics, par vecteur
Lettre de notre analyste
en chef
Dix principaux vecteurs d'attaque Introduction
Logiciel Menaces par secteur
malveillant et vecteurs d'attaque
Piratage Statistiques sur les
de comptes
logiciels malveillants
Attaque ciblée LOGICIEL MALVEILLANT
SUNBURST ET
Inconnu COMPROMISSION DE LA
CHAÎNE LOGISTIQUE
Malveillant SOLARWINDS
PRINCIPALES TECHNIQUES
Vulnérabilité MITRE ATT&CK UTILISÉES
PAR LES GROUPES
DDoS CRIMINELS/APT
Logiciel malveillant
pour terminaux Ressources
de point de vente
À propos de McAfee
Spam
À propos de McAfee Labs
et McAfee Advanced
SQLi
Threat Research
Script malveillant
E-mail
professionnel
Erreur
de configuration
Faux comptes de
réseau social
Intrusion dans les
réunions Zoom
Credential
stuffing
0 50 100 150 200 250 300
4 trim. 2019
e
1 trim. 2020
er
2 trim. 2020
e
3 trim. 2020
e
4 trim. 2020
e
Source : McAfee Labs, 2020.
Figure 5. Les incidents impliquant des vulnérabilités ont augmenté de 100 % entre
les 3e et 4e trimestres 2020. Les attaques ciblées et de logiciels malveillants ont
connu une hausse de 43 %. Le piratage de comptes a augmenté de 30 %.
10 McAfee Labs — Rapport sur le paysage des menaces, AVRIL 2021RAPPORT
INCIDENTS LIÉS AU CLOUD PAR PAYS D'ORIGINE
Lettre de notre analyste
en chef
Dix principaux incidents liés au cloud par pays Introduction
États-Unis
Menaces par secteur
et vecteurs d'attaque
Thaïlande
Statistiques sur les
Inde
logiciels malveillants
Nouvelle-Calédonie
LOGICIEL MALVEILLANT
Fédération de Russie SUNBURST ET
Pays-Bas COMPROMISSION DE LA
CHAÎNE LOGISTIQUE
Brésil SOLARWINDS
Royaume-Uni
PRINCIPALES TECHNIQUES
Ukraine MITRE ATT&CK UTILISÉES
PAR LES GROUPES
Hong Kong
CRIMINELS/APT
0 200 000 400 000 600 000 800 000
Ressources
2 trim. 2020
e
3 trim. 2020
e
4 trim. 2020
e
Source : McAfee Labs, 2020. À propos de McAfee
Figure 6. McAfee a observé environ 3,1 millions d'attaques externes visant des À propos de McAfee Labs
comptes cloud, après avoir agrégé et anonymisé les données d'utilisation du cloud
de plus de 30 millions d'utilisateurs McAfee MVISION Cloud à travers le monde au et McAfee Advanced
cours du 4e trimestre 2020. Les entreprises couvertes par cet ensemble de données Threat Research
sont issues des secteurs suivants : services financiers, soins de santé, secteur
public, enseignement, distribution, technologies, industrie manufacturière,
énergie, services d'utilité publique, services juridiques, immobilier, transport
et services commerciaux.
11 McAfee Labs — Rapport sur le paysage des menaces, AVRIL 2021RAPPORT
Statistiques sur les logiciels malveillants
Lettre de notre analyste
en chef
De nettes augmentations ont été observées dans plusieurs catégories de
menaces aux 3e et 4e trimestres 2020 : Introduction
Les attaques PowerShell ont progressé de 208 % entre les 3e et 4e trimestres, Menaces par secteur
notamment sous l'impulsion de Donoff. et vecteurs d'attaque
Les logiciels malveillants sur MacOS ont explosé au 3e trimestre (420 %) en Statistiques sur les
raison du ransomware EvilQuest, pour revenir ensuite à des niveaux normaux logiciels malveillants
au 4e trimestre.
LOGICIEL MALVEILLANT
Les logiciels malveillants sur Office ont progressé de 199 % entre les
SUNBURST ET
3e et 4e trimestres.
COMPROMISSION DE LA
Le nombre de logiciels malveillants sur mobiles a augmenté de 118 % entre CHAÎNE LOGISTIQUE
les 3e et 4e trimestres, principalement sous l'impulsion de SMS Reg. SOLARWINDS
Les logiciels de demande de rançon (ransomwares), CryptoDefense en tête, PRINCIPALES TECHNIQUES
ont vu leur volume croître de 69 % entre les 3e et 4e trimestres. MITRE ATT&CK UTILISÉES
Les logiciels malveillants sur Linux ont progressé de 6 % entre les 3e et PAR LES GROUPES
4e trimestres. CRIMINELS/APT
Les logiciels malveillants mineurs de cryptomonnaie ont enregistré une hausse Ressources
de 35 % au 4e trimestre.
À propos de McAfee
Une légère baisse des attaques JavaScript, sur iOS et ciblant les équipements
IoT a été observée. À propos de McAfee Labs
et McAfee Advanced
Threat Research
Nouveaux fichiers binaires malveillants signés
1 500 000
1 200 000
900 000
600 000
300 000
0
3e trim. 4e trim. 1er trim. 2e trim. 3e trim. 4e trim.
2019 2020
Source : McAfee Labs, 2020.
12 McAfee Labs — Rapport sur le paysage des menaces, AVRIL 2021RAPPORT
Lettre de notre analyste
Nouveaux logiciels de demande de rançon (ransomwares) en chef
6 000 000 Introduction
5 000 000 Menaces par secteur
et vecteurs d'attaque
4 000 000
Statistiques sur les
3 000 000
logiciels malveillants
2 000 000
LOGICIEL MALVEILLANT
1 000 000 SUNBURST ET
COMPROMISSION DE LA
0
3e trim. 4e trim. 1er trim. 2e trim. 3e trim. 4e trim. CHAÎNE LOGISTIQUE
2019 2020 SOLARWINDS
Source : McAfee Labs, 2020.
PRINCIPALES TECHNIQUES
MITRE ATT&CK UTILISÉES
PAR LES GROUPES
Nouveaux logiciels malveillants sur MacOS CRIMINELS/APT
1 200 000
Ressources
1 000 000
À propos de McAfee
800 000
À propos de McAfee Labs
600 000 et McAfee Advanced
Threat Research
400 000
200 000
0
3e trim. 4e trim. 1er trim. 2e trim. 3e trim. 4e trim.
2019 2020
Source : McAfee Labs, 2020.
Nouveaux logiciels malveillants sur Linux
150 000
120 000
90 000
60 000
30 000
0
3e trim. 4e trim. 1er trim. 2e trim. 3e trim. 4e trim.
2019 2020
Source : McAfee Labs, 2020.
13 McAfee Labs — Rapport sur le paysage des menaces, AVRIL 2021RAPPORT
Lettre de notre analyste
Nouveaux logiciels malveillants sur iOS en chef
3 500 Introduction
3 000
Menaces par secteur
2 500 et vecteurs d'attaque
2 000 Statistiques sur les
1 500 logiciels malveillants
1 000 LOGICIEL MALVEILLANT
500 SUNBURST ET
COMPROMISSION DE LA
0
3e trim. 4e trim. 1er trim. 2e trim. 3e trim. 4e trim. CHAÎNE LOGISTIQUE
2019 2020 SOLARWINDS
Source : McAfee Labs, 2020.
PRINCIPALES TECHNIQUES
MITRE ATT&CK UTILISÉES
PAR LES GROUPES
Nouveaux logiciels malveillants sur mobiles CRIMINELS/APT
3 500 000
Ressources
3 000 000
À propos de McAfee
2 500 000
À propos de McAfee Labs
2 000 000
et McAfee Advanced
1 500 000 Threat Research
1 000 000
500 000
0
3e trim. 4e trim. 1er trim. 2e trim. 3e trim. 4e trim.
2019 2020
Source : McAfee Labs, 2020.
Nouveaux logiciels malveillants d'exploit
600 000
500 000
400 000
300 000
200 000
100 000
0
3e trim. 4e trim. 1er trim. 2e trim. 3e trim. 4e trim.
2019 2020
Source : McAfee Labs, 2020.
14 McAfee Labs — Rapport sur le paysage des menaces, AVRIL 2021RAPPORT
Lettre de notre analyste
Nouveaux logiciels malveillants mineurs de cryptomonnaie en chef
5 000 000 Introduction
4 000 000 Menaces par secteur
et vecteurs d'attaque
3 000 000
Statistiques sur les
logiciels malveillants
2 000 000
LOGICIEL MALVEILLANT
1 000 000
SUNBURST ET
COMPROMISSION DE LA
0
3e trim. 4e trim. 1er trim. 2e trim. 3e trim. 4e trim. CHAÎNE LOGISTIQUE
2019 2020 SOLARWINDS
Source : McAfee Labs, 2020.
PRINCIPALES TECHNIQUES
MITRE ATT&CK UTILISÉES
PAR LES GROUPES
Nouveaux logiciels malveillants ciblant les équipements IoT CRIMINELS/APT
80 000
Ressources
70 000
60 000
À propos de McAfee
50 000 À propos de McAfee Labs
40 000 et McAfee Advanced
30 000
Threat Research
20 000
10 000
0
3e trim. 4e trim. 1er trim. 2e trim. 3e trim. 4e trim.
2019 2020
Source : McAfee Labs, 2020.
Nouveaux logiciels malveillants sur Office
15 000 000
12 000 000
9 000 000
6 000 000
3 000 000
0
3e trim. 4e trim. 1er trim. 2e trim. 3e trim. 4e trim.
2019 2020
Source : McAfee Labs, 2020.
15 McAfee Labs — Rapport sur le paysage des menaces, AVRIL 2021RAPPORT
Lettre de notre analyste
Nouveaux logiciels malveillants JavaScript en chef
8 000 000 Introduction
7 000 000
Menaces par secteur
6 000 000
et vecteurs d'attaque
5 000 000
Statistiques sur les
4 000 000
logiciels malveillants
3 000 000
2 000 000 LOGICIEL MALVEILLANT
SUNBURST ET
1 000 000
COMPROMISSION DE LA
0
3e trim. 4e trim. 1er trim. 2e trim. 3e trim. 4e trim. CHAÎNE LOGISTIQUE
2019 2020 SOLARWINDS
Source : McAfee Labs, 2020.
PRINCIPALES TECHNIQUES
MITRE ATT&CK UTILISÉES
PAR LES GROUPES
Nouveaux logiciels malveillants PowerShell CRIMINELS/APT
15 000 000
Ressources
12 000 000 À propos de McAfee
9 000 000 À propos de McAfee Labs
et McAfee Advanced
6 000 000 Threat Research
3 000 000
0
3e trim. 4e trim. 1er trim. 2e trim. 3e trim. 4e trim.
2019 2020
Source : McAfee Labs, 2020.
Nouveaux logiciels malveillants
100 000 000
80 000 000
60 000 000
40 000 000
20 000 000
0
3e trim. 4e trim. 1er trim. 2e trim. 3e trim. 4e trim.
2019 2020
Source : McAfee Labs, 2020.
16 McAfee Labs — Rapport sur le paysage des menaces, AVRIL 2021RAPPORT
Lettre de notre analyste
Nombre total de logiciels malveillants (malwares) en chef
1 500 000 000 Introduction
1 200 000 000 Menaces par secteur
et vecteurs d'attaque
900 000 000
Statistiques sur les
logiciels malveillants
600 000 000
LOGICIEL MALVEILLANT
300 000 000
SUNBURST ET
COMPROMISSION DE LA
0
3e trim. 4e trim. 1er trim. 2e trim. 3e trim. 4e trim. CHAÎNE LOGISTIQUE
2019 2020 SOLARWINDS
Source : McAfee Labs, 2020.
PRINCIPALES TECHNIQUES
MITRE ATT&CK UTILISÉES
PAR LES GROUPES
OGICIEL MALVEILLANT SUNBURST ET COMPROMISSION DE LA CHAÎNE
L
CRIMINELS/APT
LOGISTIQUE SOLARWINDS
Ressources
Au cours du 4e trimestre 2020, FireEye a révélé que des cybercriminels avaient
compromis le logiciel de surveillance et de gestion informatiques Orion de À propos de McAfee
SolarWinds avec une version infectée par des chevaux de Troie du fichier
SolarWinds.Orion.Core.BusinessLayer.dll. Le fichier en question a introduit le À propos de McAfee Labs
et McAfee Advanced
logiciel malveillant SUNBURST par une porte dérobée (backdoor) en s'appuyant
Threat Research
sur un correctif de Windows Installer à signature numérique. L'utilisation d'une
chaîne logistique logicielle compromise (T1195.002) comme technique d'accès
initial est particulièrement problématique car elle peut passer inaperçue pendant
longtemps. FireEye a publié des contre-mesures permettant d'identifier le logiciel
malveillant SUNBURST.
McAfee s'est penché sur SUNBURST dans cet article de blog et dans le cadre d'une
analyse complémentaire de la porte dérobée (backdoor), et continue à suivre la
campagne sous l'appellation « SolarWinds Chain Attack Affecting Multiple Global
Victims With SUNBURST Backdoor » (Attaque de la chaîne SolarWinds touchant de
multiples victimes à travers le monde à l'aide de la porte dérobée SUNBURST) via
MVISION Insights. Steve Grobman, Directeur des Technologies de McAfee, a décrit
en détail l'impact considérable de l'attaque SolarWinds-SUNBURST. Les clients
peuvent consulter la version publique de MVISION Insights afin de prendre
connaissance des dernières informations concernant l'attaque, sa prévalence,
les techniques utilisées et les indicateurs de compromission.
17 McAfee Labs — Rapport sur le paysage des menaces, AVRIL 2021RAPPORT
Lettre de notre analyste
en chef
Introduction
Menaces par secteur
et vecteurs d'attaque
Statistiques sur les
logiciels malveillants
LOGICIEL MALVEILLANT
SUNBURST ET
COMPROMISSION DE LA
CHAÎNE LOGISTIQUE
SOLARWINDS
Figure 7. MVISION Insights communique les indicateurs utilisés par SUNBURST. PRINCIPALES TECHNIQUES
Ces indicateurs sont mis à jour en permanence grâce à des fonctions de collecte
automatisée et d'analyse humaine. Vous pouvez utiliser ces indicateurs pour traquer MITRE ATT&CK UTILISÉES
la menace sur votre réseau. PAR LES GROUPES
CRIMINELS/APT
RINCIPALES TECHNIQUES MITRE ATT&CK UTILISÉES PAR LES
P Ressources
GROUPES CRIMINELS/APT À propos de McAfee
Techniques (les cinq À propos de McAfee Labs
Tactiques principales par tactique) Commentaires et McAfee Advanced
Accès initial Exploitation d'applications Une hausse de l'utilisation de cette technique a été Threat Research
publiques observée au 4e trimestre. Le CISA et la NSA ont
publié plusieurs rapports afin d'alerter le secteur
que des cybercriminels financés par des États
exploitent activement plusieurs vulnérabilités CVE
liées à des applications publiques, telles que des
logiciels populaires de gestion à distance et VPN.
D'après les informations recueillies par McAfee,
cette tactique d'accès initial est également
utilisée par des groupes de ransomwares.
Réplication par
l'intermédiaire d'un
support amovible
Comptes valides
Compromission par
téléchargement à
l'insu de l'utilisateur
Phishing
Exécution Exécution par l'utilisateur
Interface de ligne
de commande
Scripts
Infrastructure de
gestion Windows (WMI)
Tâche planifiée
Persistance Tâche planifiée
Clés d'exécution du
registre / Dossier
de démarrage
Chargement latéral
de fichiers DLL
18 McAfee Labs — Rapport sur le paysage des menaces, AVRIL 2021RAPPORT
Techniques (les cinq Lettre de notre analyste
Tactiques principales par tactique) Commentaires en chef
Comptes valides Introduction
Éléments de démarrage
Menaces par secteur
Élévation de Injection de processus L'injection de processus demeure l'une des
privilèges principales techniques d'élévation de privilèges et vecteurs d'attaque
et est utilisée par plusieurs familles de logiciels
malveillants et groupes de cybercriminels, Statistiques sur les
notamment des outils RAT, tels que Remcos,
des groupes de ransomwares, tels que REvil, logiciels malveillants
et de nombreux groupes APT à la solde d'États.
Nous avons observé plusieurs attaques faisant LOGICIEL MALVEILLANT
intervenir le code d'injection PowerShell dans
un autre processus d'exécution. SUNBURST ET
COMPROMISSION DE LA
Tâche planifiée
CHAÎNE LOGISTIQUE
Clés d'exécution du
registre / Dossier
SOLARWINDS
de démarrage
PRINCIPALES TECHNIQUES
Chargement latéral
de fichiers DLL MITRE ATT&CK UTILISÉES
PAR LES GROUPES
Exploitation à des fins
d'élévation de privilèges CRIMINELS/APT
Contour Dissimulation de fichiers/ Il s'agit de la deuxième technique la plus souvent
nement d'informations observée au 4e trimestre 2020. Les malwares et Ressources
de la les logiciels de sécurité se livrent à une sorte de
protection jeu du chat et de la souris. À propos de McAfee
Les cybercriminels trouvent en permanence de
nouveaux moyens pour échapper à la détection. À propos de McAfee Labs
Ainsi, le groupe de cybercriminels APT28 a et McAfee Advanced
utilisé des fichiers VHD (disques durs virtuels)
pour empaqueter et dissimuler sa charge Threat Research
active malveillante, une des techniques les
plus remarquables observées au 4e trimestre.
Élucidation/décodage de
fichiers/d'informations
Camouflage
Modification du registre
Injection de processus
Accès aux Capture des entrées
identifiants
Capture d'identifiants
Enregistrement de frappe
Attaque en force
Cookie de vol de session web
Découverte Découverte des Il s'agit de la technique MITRE la plus utilisée
informations système dans le cadre des campagnes observées au
4e trimestre 2020. Le malware utilisé dans
ces campagnes contenait des fonctionnalités
chargées de collecter la version du système
d'exploitation, la configuration matérielle et le
nom d'hôte de la machine de la victime, puis de
transmettre ces informations au cybercriminel.
Découverte de fichiers
et de répertoires
Découverte de processus
Interrogation du registre
Découverte du propriétaire/
des utilisateurs du système
19 McAfee Labs — Rapport sur le paysage des menaces, AVRIL 2021RAPPORT
Techniques (les cinq Lettre de notre analyste
Tactiques principales par tactique) Commentaires en chef
Mouvement Copie de fichiers distants Introduction
latéral
Exploitation de services Menaces par secteur
distants
et vecteurs d'attaque
Réplication par
l'intermédiaire d'un Statistiques sur les
support amovible
logiciels malveillants
Scripts de connexion
Services distants LOGICIEL MALVEILLANT
Collecte Données du système local
SUNBURST ET
COMPROMISSION DE LA
Capture d'écran
CHAÎNE LOGISTIQUE
Collecte automatisée SOLARWINDS
Capture des entrées
Collecte progressive de
PRINCIPALES TECHNIQUES
données MITRE ATT&CK UTILISÉES
Commande Protocole standard pour PAR LES GROUPES
et contrôle la couche Applications CRIMINELS/APT
Copie de fichiers distants
Ressources
Port habituellement utilisé
Service Web À propos de McAfee
Proxy de connexion
À propos de McAfee Labs
Exfiltration Exfiltration sur un canal et McAfee Advanced
de commande et contrôle
Threat Research
Exfiltration automatisée
Exfiltration via un
protocole alternatif
Exfiltration vers un
stockage dans le cloud
Transfert planifié
Impact Piratage de ressources Cette technique est souvent utilisée par les
malwares mineurs de cryptomonnaie, qui
détournent les ressources système pour miner
des cryptomonnaies.
Données chiffrées Cette technique est presque exclusivement
pour l'impact utilisée par les ransomwares. Il s'agit d'une des
principales cybermenaces, une popularité qui
ne s'est pas démentie au 4e trimestre 2020.
Arrêt/redémarrage
système
Corruption de
micrologiciels
Prévention de la
restauration du système
Tableau 1. Exploitation d'applications publiques : McAfee Labs a observé
une hausse de l'utilisation de cette technique. Le CISA et la NSA ont
publié plusieurs rapports afin d'alerter le secteur que des cybercriminels
financés par des États exploitent activement plusieurs vulnérabilités CVE
liées à des applications publiques, telles que des logiciels populaires de
gestion à distance et VPN. D'après les informations recueillies par McAfee,
cette tactique d'accès initial est également utilisée par des groupes de
ransomwares. Injection de processus : d'après les observations de McAfee Labs,
plusieurs familles de malwares et groupes de menaces ont également utilisé
cette technique, notamment des outils RAT, tels que Remcos, des groupes de
ransomwares, tels que REvil, et plusieurs groupes APT à la solde d'États.
McAfee Labs a également observé plusieurs attaques impliquant PowerShell.
20 McAfee Labs — Rapport sur le paysage des menaces, AVRIL 2021RAPPORT
Principales familles et techniques de ransomwares
Lettre de notre analyste
en chef
McAfee a observé une hausse de 69 % du nombre de nouveaux ransomwares
entre les 3e et 4e trimestres 2020, principalement attribuable à CryptoDefense. Introduction
L'équipe McAfee Advanced Threat Research a recueilli les données suivantes :
Menaces par secteur
et vecteurs d'attaque
rincipales familles, techniques MITRE ATT&CK
P Statistiques sur les
et secteurs les plus touchés logiciels malveillants
LOGICIEL MALVEILLANT
Ransom:W32/Conti
Ransom:W32/REvil SUNBURST ET
Ransom:W32/Thanos COMPROMISSION DE LA
Ransom/W32_Clop
Ransom:W32/Ryuk CHAÎNE LOGISTIQUE
Ransom:W32/RansomeXX SOLARWINDS
Ransom:W32/WastedLocker
Ransom:W32/Maze
Ransom:W32/MountLocker PRINCIPALES TECHNIQUES
Ransom:W32/NetWalker
Ransom:W32/Suncrypt MITRE ATT&CK UTILISÉES
Ransom:W32/NetWalker PAR LESRansom:W32/Suncrypt
GROUPES
Ransom:W32/WastedLocker
CRIMINELS/APT
Ransom:W32/MountLocker
Ransom:W32_Clop
Ressources
Ransom:W32/Conti Ransom:W32/Maze
À propos de McAfee
Figure 8. La liste des familles de ransomwares observées est dominée par REvil, Ransom:W32/RansomeXX
Thanos, Ryuk, RansomeXX et Maze. À propos de McAfee Labs
et McAfee Advanced
Ransom:W32/Ryuk
Threat Research
Principales techniques MITRE ATT&CK
Ransom:W32/Thanos
Ransom:W32/REvil
Principales techniques MITRE
Découverte
de fichiers et de
répertoires (T1083)
Données chiffrées
pour l'impact (T1486)
Arrêt des services
(T1489)
Dissimulation de
fichiers/d'informations
(T1027)
Découverte des
informations
système (T1082)
Injection de
processus (T1055)
Découverte de
processus (T1057)
Camouflage (T1036)
0 1 2 3 4 5 6 7 8
Source : McAfee Labs, 2020.
Figure 9. Les principales techniques MITRE ATT&CK observées sont les suivantes :
découverte de fichiers et de répertoires (T1083), données chiffrées pour l'impact
(T1486), arrêt des services (T1489), dissimulation de fichiers/d'informations
(T1027) et découverte des informations système (T1082).
21 McAfee Labs — Rapport sur le paysage des menaces, AVRIL 2021RAPPORT
Lettre de notre analyste
en chef
Introduction
Menaces par secteur
et vecteurs d'attaque
Statistiques sur les
logiciels malveillants
LOGICIEL MALVEILLANT
SUNBURST ET
COMPROMISSION DE LA
CHAÎNE LOGISTIQUE
SOLARWINDS
24 PRINCIPALES TECHNIQUES
MITRE ATT&CK UTILISÉES
PAR LES GROUPES
CRIMINELS/APT
Friday at 13:35
NO AVAT AR Ressources
À propos de McAfee
$$$
Premium
À propos de McAfee Labs
et McAfee Advanced
Threat Research
Figure 10. Cet exemple illustre la manière dont les groupes de ransomwares recrutent
d'autres équipes ou des auteurs de tests d'intrusion en vue d'accéder à des réseaux
d'entreprise. Les groupes de ransomwares ont délaissé les attaques de type « spray-
and-pray » et cherchent plutôt à atteindre des cibles de valeur afin de dérober leurs
informations avant de lancer l'infection par ransomware. De plus en plus de groupes
de ransomwares sont à la recherche de cybercriminels spécialisés dans les sauvegardes
et les serveur ESX.
Au 4e trimestre 2020, McAfee s'est associé à Microsoft et à 17 autres sociétés
spécialisées en sécurité, sociétés technologiques et organismes à but non
lucratif pour constituer un nouveau groupe de travail consacré aux ransomwares
(Ransomware Task Force, RTF) afin d'enrayer la menace croissante que
représente ce type d'attaque.
22 McAfee Labs — Rapport sur le paysage des menaces, AVRIL 2021RAPPORT
Ressources Lettre de notre analyste
en chef
Pour suivre l'évolution des menaces et des recherches, consultez les ressources
McAfee suivantes : Introduction
Tableau de bord McAfee des menaces liées à la COVID-19 — Liste des fichiers Menaces par secteur
et vecteurs d'attaque
malveillants liés à la COVID-19 régulièrement mise à jour, indiquant les pays,
les secteurs et le type de menace. Statistiques sur les
logiciels malveillants
Tableau de bord MVISION Insights — Découvrez un aperçu de la seule solution
proactive permettant de garder une longueur d'avance sur les menaces émergentes. LOGICIEL MALVEILLANT
SUNBURST ET
Centre sur les menaces de McAfee — Menaces actuelles les plus dévastatrices COMPROMISSION DE LA
identifiées par notre équipe de recherche sur les menaces. CHAÎNE LOGISTIQUE
McAfee Labs et ses chercheurs sur Twitter SOLARWINDS
McAfee Labs PRINCIPALES TECHNIQUES
MITRE ATT&CK UTILISÉES
Raj Samani PAR LES GROUPES
CRIMINELS/APT
Christiaan Beek
Ressources
John Fokker
À propos de McAfee
Steve Povolny
À propos de McAfee Labs
Eoin Carroll et McAfee Advanced
Threat Research
Thomas Roccia
Douglas McKee
23 McAfee Labs — Rapport sur le paysage des menaces, AVRIL 2021RAPPORT
À propos de McAfee
Leader en cybersécurité, McAfee s'est fixé pour mission d'assurer la protection
de toutes les ressources, depuis les équipements jusqu'au cloud. Convaincus
de l'efficacité de la collaboration, nous mettons au point des solutions pour
entreprises et particuliers qui contribuent à un monde plus sûr. En concevant
des solutions compatibles avec les produits d'autres sociétés, McAfee aide
les entreprises à orchestrer des environnements informatiques véritablement
intégrés, où la protection, la détection et la neutralisation des menaces sont
assurées de façon simultanée et en étroite collaboration. En protégeant
l'ensemble des appareils des particuliers, McAfee sécurise leur vie numérique
à la maison et lors de leurs déplacements. Grâce à sa collaboration avec d'autres
acteurs de la sécurité, McAfee s'est imposé comme le chef de file de la lutte
commune engagée contre les cybercriminels au bénéfice de tous.
www.mcafee.com/fr
À propos de McAfee Labs et McAfee Advanced Threat Research
McAfee Labs, soutenu par l'équipe McAfee Advanced Threat Research, est
l'une des principales références à l'échelle mondiale en matière d'études et de
cyberveille sur les menaces. Ses orientations stratégiques dans le domaine de
la cybersécurité font autorité. Grâce à des données recueillies à partir de millions
de sondes sur les principaux vecteurs de menaces (fichiers, Web, messagerie
et réseaux), McAfee Labs et McAfee Advanced Threat Research fournissent
une cyberveille en temps réel sur les menaces, des analyses critiques et des
avis d'experts qui permettent d'optimiser la sécurité tout en réduisant les risques.
www.mcafee.com/enterprise/fr-fr/threat-center/mcafee-labs.html
S'abonner à nos informations sur les menaces
11-13 Cours Valmy - McAfee et le logo McAfee sont des marques commerciales ou des marques commerciales déposées
La Défense 7 de McAfee, LLC ou de ses filiales aux États-Unis et dans d'autres pays. Les autres noms et marques
92800 Puteaux, France sont la propriété de leurs détenteurs respectifs. Copyright © 2021 McAfee, LLC. 4728_0421
AVRIL 2021
www.mcafee.com/fr
24 McAfee Labs — Rapport sur le paysage des menaces, AVRIL 2021Vous pouvez aussi lire
