Rapport sur l'état des malwares 2017 - Malwarebytes
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
2017 Rapport sur l'état des malwares
TABLE DES MATIÈRES 01 Synthèse 01 Méthodologie 01 Les ransomwares prennent la première place et ciblent les entreprises 03 Top 10 des pays en termes de détections de ransomwares 03 Détections de ransomwares par continent 03 Top trois des familles de ransomwares détectées 04 Les détections de ransomwares diffèrent selon les cibles 05 Les malwares de fraude publicitaire touchent particulièrement les États-Unis 05 Top 10 des pays en matière de détections de fraude publicitaire 05 Répartition par pays des malwares Kovter détectés 05 Les botnets exploitent les dispositifs IoT pour semer la pagaille 06 Répartition par continent des botnets détectés 06 Les cybercriminels changent leurs tactiques de distribution des malwares 07 Les malwares Android deviennent plus intelligents 07 Répartition par pays des malwares détectés sur Android 07 Les attaques de malwares diffèrent selon les pays et la géographie 08 Prévisions pour 2017
Synthèse
En 2016, l'engouement médiatique a fait les gros titres. Les cyber-attaques et la cyber-sécurité, ou
plutôt leurs lacunes, ont attiré l'attention des médias du côté des entreprises et des consommateurs.
Elles ont même été au cœur de l'élection présidentielle américaine. À cet égard, on pourrait dire que
tous, même les personnes qui n'ont jamais été connectées, ont été touchés par les cyber-attaques et
le piratage informatique en 2016.
Méthodologie Les ransomwares prennent la
Nous avons examiné les données en utilisant ces première place et ciblent les
paramètres : entreprises
• Presque un million de détections/impacts de
En 2016, les ransomwares ont fait la une, et pour cause.
malwares
Alors que les malwares tels que les chevaux de Troie
• Sur la période de juin à novembre 2016
bancaires, les logiciels espions et les keyloggers exigent
uniquement
que le cybercriminel supervise plusieurs étapes avant
• Près de 100 millions de dispositifs Windows et
que l'argent ne soit versé sur son compte bancaire, les
Android
ransomwares consistent en un processus automatisé
• Dans plus de 200 pays
et ininterrompu. Les « script kiddies » (pirates avec peu
• Dans les environnements du grand public et
ou pas de compétence de codage) peuvent même
des entreprises
acheter des kits de ransomwares clé en main, connus
• En se concentrant sur six catégories de
sous le nom de « ransomwares en tant que service »
menaces : ransomwares, fraudes publicitaires,
(RaaS) qui permettent de contourner les difficultés du
malwares Android, botnets, chevaux de Troie
vol numérique. Durant le quatrième trimestre de 2016
bancaires, et adwares
uniquement, 400 variantes de ransomwares ont été
En outre, nous avons utilisé les informations obtenues cataloguées. La majorité d'entre elles a été simplement
à partir de nos propres honeypots internes et nos efforts créée par un nouveau groupe criminel qui essayait
de collecte pour identifier la distribution des malwares, d'avoir sa part du gâteau.
et pas seulement les infections.
Toutefois, la tendance des ransomwares n'est pas
Trois faits essentiels à retenir
nouvelle : nous avons assisté à une croissance de leur
1. Les ransomwares ont fait la une et sont devenus distribution ces deux dernières années et avons observé
la méthode d'attaque privilégiée contre les des familles spécifiques qui ont pris la première place
entreprises. sur le marché de la cybercriminalité.
2. Les malwares de fraude publicitaire, en premier lieu
le malware Kovter, ont parfois dépassé les limites
de détection des ransomwares et ont représenté
une menace considérable pour le grand public et les
entreprises.
3. Les botnets ont infecté et détourné les dispositifs
Internet des objets (IoT) afin de lancer des attaques
massives par déni de service (DDoS).
1 Rapport sur l'état des malwares Malwarebytes 2017
CHARGE UTILE EXPLOIT/SPAM CHARGE UTILE EXPLOIT/SPAM
RÉSUMÉ JUIN 2016 RÉSUMÉ NOV 2016
Ransomware 18 %
Downloader 6 % Ransomware 66 %
Porte dérobée 2 %
Downloader 5 %
Banquier 5 %
Porte dérobée 3 %
Botnet 5 %
Banquier 0 %
Botnet 5 %
Fraude
publicitaire 10 %
Fraude publicitaire 23 %
Autre 41 % Autre 15 %
Figure 1. Charges utiles juin 2016 Figure 2. Charges utiles novembre 2016
La distribution des ransomwares entre juin et novembre 2016 a augmenté de 267 %. C'est une domination sans
précédent du paysage des menaces.
Rapport sur l'état des malwares Malwarebytes 2017 2Top 10 des pays en termes de Détections de ransomwares par continent
détections de ransomwares
1. Europe 49,26 %
1. États-Unis 2. Amérique du Nord 32,51 %
2. Allemagne 3. Asie 9,84 %
3. Italie 4. Océanie 3,72 %
4. Royaume-Uni 5. Amérique du Sud 3,67 %
5. France 6. Afrique 1,00 %
6. Australie 7. Antarctique 0,00 %
7. Canada
8. Espagne
Top des familles de ransomwares en 2016
9. Inde
En 2016, trois principaux acteurs se sont distingués
10. Autriche
dans le jeu du ransomware. Un de ces acteurs
Il n'est pas surprenant que les États-Unis soient le a abandonné la course et les deux autres continuent
pays avec le plus de détections de ransomwares. à rivaliser pour la dominer.
Plusieurs groupes de l'Europe de l'Est, et dans
le monde entier, visent les Américains en raison
de la grande accessibilité de sa population à la Top trois des familles de ransomwares
technologie mais également parce qu'elle a les détectées
moyens de payer la rançon, et éventuellement • TeslaCrypt
pour des raisons idéologiques. • Locky
• Cerber
La Russie semble manquer dans la liste. Ce
n'est pas parce que les citoyens russes ont une
bonne maîtrise de la sécurité informatique. Cela
pourrait plutôt suggérer que les développeurs
de ransomwares russes ne visent pas leur
propre pays.
3 Rapport sur l'état des malwares Malwarebytes 2017Dans le graphique ci-dessous, vous pouvez voir les autres principales familles de ransomwares en 2016.
TENDANCES DES FAMILLES DE RANSOMWARES EN 2016
Figure 3. Tendances des familles de ransomwares en 2016.
Le début de l'année se caractérise par une croissance Les détections de ransomwares diffèrent
vertigineuse de l'utilisation de TeslaCrypt. Néanmoins, selon les cibles, même dans les régions
en mai, TeslaCrypt a fermé ses portes et a dévoilé la clé à taux d'incidence élevée.
universelle de déchiffrement à toutes ses victimes. • 81 % des attaques de ransomwares détectées
dans les entreprises ont eu lieu aux États-Unis.
• 51 % des attaques de ransomwares détectées
dans les environnements familiaux /de
consommateurs ont eu lieu en Europe.
Les cybercriminels utilisant les ransomwares
ont concentré leurs efforts sur les entreprises,
Figure 4. TeslaCrypt disparaît. Utilisé avec la permission particulièrement en Amérique du Nord, sans doute
de Bleeping Computer parce qu'ils ont réalisé que ces entreprises sont celles
qui ont le plus à perdre et le plus de moyens pour
Lorsque TeslaCrypt a disparu, le vide créé a rapidement payer. Sur le plan mondial, parmi les six catégories
été occupé par deux autres familles montantes : Locky de malwares observées dans ce rapport, les
et Cerber. Sur la presque totalité des 3e et 4e trimestres ransomwares représentaient 12,3 % des détections
de 2016, ces familles ont réussi à atteindre le même dans les entreprises contre seulement 1,8 % du côté
niveau de distribution que TeslaCrypt en mars et mai. des consommateurs.
Rapport sur l'état des malwares Malwarebytes 2017 4Les malwares de fraude En plus de cette utilisation novatrice du malware, la
distribution de Kovter a également changé en 2016. Alors
publicitaire touchent que Kovter s'était auparavant principalement propagé
particulièrement les États-Unis dans les exploits drive-by et les kits d'exploit, nous avons
également assisté à une augmentation massive des
Alors que les ransomwares ont été les malwares e-mails d'hameçonnage malveillants.
principaux en 2016, les malwares de fraude publicitaire
ont également figuré au premier plan. En fait, les Ce changement de distribution, combiné au fait que la
détections de fraude publicitaire, particulièrement le population américaine était une cible privilégiée pour les
malware Kovter, ont rivalisé avec les détections de distributeurs de Kovter, a aidé Kovter à devenir l'une des
ransomwares pendant l'été. plus grandes menaces en 2016, en particulier pour les
Américains.
Top 10 des pays en matière de détections de
fraude publicitaire Répartition par pays des malwares Kovter
1. États-Unis 68,85 %
détectés (top cinq)
2. Canada 3,39 % 1. États-Unis 68,64 %
3. France 3,02 % 2. Allemagne 2,58 %
4. Allemagne 2,72 % 3. Canada 1,65 %
5. Italie 2,26 % 4. France 1,34 %
6. Espagne 2,10 % 5. Italie 1,30 %
7. Royaume-Uni 1,60 %
8. Australie 0,96 % Le changement de méthodologie et de distribution de
9. Inde 0,90 % Kovter est significatif parce qu'il reflète la tendance de
10. Pologne 0,84 % croissance que nous observons chez les ransomwares.
Kovter et les ransomwares sont tous deux une source de
Zoom sur le malware de fraude publicitaire Kovter profit direct pour les attaquants. Plutôt que de vendre des
Kovter est une des familles de malwares la plus avancée récupérations de mot de passe, des informations de carte
actuellement en circulation. Elle inclut des fonctionnalités de crédit et des comptes de réseaux sociaux à d'autres
sophistiquées, comme la capacité à infecter des systèmes criminels, ces attaques demandent directement aux
sans déposer de fichiers mais en créant une clé de registre victimes de payer pour récupérer leurs fichiers importants
spéciale, difficile à détecter par la plupart des antivirus. En ou utilisent les victimes pour escroquer l'industrie
outre, Kovter utilise des fonctions de rootkit pour camoufler publicitaire, ce qui représente plus de profit pour moins
sa présence et identifiera activement les solutions de d'effort.
sécurité pour ensuite les désactiver.
Kovter n'est pas nouveau, il est apparu pour la première fois
Les botnets exploitent les
en 2015. Il a historiquement été utilisé comme downloader dispositifs IoT pour semer la
pour d'autres familles de malwares, un outil qui vole les
pagaille
informations personnelles, et comme porte dérobée pour
les attaquants afin de s'introduire dans un système. Les botnets (un réseau d'ordinateurs privés infectés par
un malware et utilisé pour envoyer des spams) ont été
Cependant, en 2016, nous avons remarqué qu'il avait été les mécanismes les plus communément développés
principalement utilisé comme malware de fraude publicitaire. pour déployer les malwares ces 10 dernières années.
Il détourne le système et l'utilise pour visiter les sites web Ceci grâce à la petite taille du botnet, sa capacité à se
et cliquer sur les publicités dans le but de créer plus de camoufler, et son aptitude à exécuter d'innombrables
clics/vues pour une campagne publicitaire (connu comme opérations.
détournement de clics). Il est utilisé soit par les criminels
à l'origine du déploiement de Kovter soit par leurs clients.
5 Rapport sur l'état des malwares Malwarebytes 2017Cette année, nous avons assisté à une nouvelle Les cybercriminels changent leurs tactiques
tactique botnet : compromettre, infecter et recruter de distribution de malwares
les dispositifs IoT, tels que les thermostats connectés à Un des plus grands changements apportés à la
internet ou les caméras de sécurité du domicile, pour distribution en 2016 a été l'utilisation des scripts joints
les intégrer au botnet. Le botnet le plus connu pour aux e-mails d'hameçonnage. Ces scripts se trouvent
s'attaquer aux objets connectés est Mirai, un malware généralement dans un fichier ZIP et, une fois ouverts
libre qui infecte les dispositifs et prend le contrôle et lancés, atteignent un serveur à distance pour
à partir d'un opérateur de commande et contrôle. télécharger et installer un malware dans le système.
Fin septembre, une attaque massive a utilisé le botnet
Mirai pour compromettre de nombreux objets connectés
et routeurs familiaux, tous les dispositifs infectés
recevant ensuite des ordres d'une seule source. Une
fois l'armée de bots assemblée, l'attaquant a utilisé une
attaque par déni de service (DDoS) afin d'interrompre
l'accès à plusieurs sites web importants.
Figure 7. E-mail d'hameçonnage malveillant avec fichier
ZIP en pièce jointe.
Un mois plus tard, Mirai a été utilisé pour attaquer
l'un des piliers d'internet, Dyn, et a ainsi empêché Une autre méthode qui est également devenue populaire
des millions d'utilisateurs d'accéder à des sites en 2016 consiste à utiliser des scripts de macro dans des
populaires tels que Twitter, Reddit et Netflix. Une documents Microsoft Office (.docx, .xlsx., etc.), pour qu'ils
des caractéristiques principales de Mirai n'était pas s'exécutent une fois que l'utilisateur a ouvert le document
seulement de scruter le réseau à la recherche de et autorisé les macros. En utilisant des tactiques
dispositifs connectés mais également d'utiliser une base d'ingénierie sociale, les attaquants incitent l'utilisateur
de données interne de noms d'utilisateurs et de mots à activer ces fonctionnalités qui permettent également
de passe par défaut pour accéder aux dispositifs. Après de télécharger et d'exécuter le malware dans le système.
avoir accédé au dispositif et l'avoir infecté, Mirai est En se basant sur une méthode préexistante d'infection,
capable de lancer des attaques DDoS contre toutes les les attaquants ont poussé le raffinement en envoyant des
cibles souhaitées par l'opérateur. fichiers ZIP protégés et des documents Office, incluant le
mot de passe dans l'e-mail d'hameçonnage. Cela donne
L'Asie et l'Europe ont connu une recrudescence des un sentiment de légitimité à l'attaque, en plus d'être une
variantes développées à partir des familles de botnets méthode efficace d'éradication de l'analyse automatique
populaires. Par exemple, le botnet Kelihos a connu une de l'e-mail d'attaque par les outils de recherche de
croissance de 785 % en juillet et de 960 % en octobre, malwares, notamment les honeypots et les sandboxes.
alors qu'IRCBot s'est développé de 667 % en août et
Qbot de 261 % en novembre.
Répartition par continent des botnets
détectés
1. Asie 61,15 %
2. Europe 14,97 %
3. Amérique du Nord 12,49 %
4. Amérique du Sud 6,56 %
5. Afrique 4,32 %
6. Océanie 0,51 %
L'Allemagne a fait face à un problème important de
botnet. Le pays a connu une augmentation de 550 % du Figure 8. Document Word malveillant utilisant l'ingénierie
nombre de détections de botnets entre 2015 et 2016. sociale pour inciter l'utilisateur à activer les macros.
Rapport sur l'état des malwares Malwarebytes 2017 6Il y a eu une grande augmentation de l'utilisation des Répartition par pays des malwares détectés
scripts de macro à la place des kits d'exploit en juin. sur Android
Cela s'explique par l'arrêt des activités d'Angler, l'un
des principaux kits d'exploit en 2015 et début 2016. 1. États-Unis 12,74 %
Cependant, le kit d'exploit RIG prend rapidement la place 2. Brésil 9,95 %
d'Angler, et il est probable qu'il restera présent en 2017. 3. Indonésie 6,54 %
4. Inde 5,04 %
5. Espagne 4,60 %
Les malwares Android 6. Philippines 4,25 %
deviennent plus intelligents 7. France 4,24 %
8. Mexique 3,87 %
Ces dernières années, le paysage des menaces sur
9. Royaume-Uni 3,59 %
les téléphones mobiles n'a pas beaucoup changé.
10. Italie 2,79 %
Les créateurs de malwares Android cherchent encore
à reproduire les fonctionnalités trouvées dans les Curieusement, le Brésil, l'Indonésie, les Philippines
malwares de bureau Windows modernes, ce qui peut et le Mexique font partie du top 10 des pays ayant
s'avérer difficile avec un système d'exploitation Android. détecté des malwares Android. La forte prévalence
des détections de malwares Android dans les pays en
Cependant, une tendance notable de 2016 a été développement peut être expliquée par l'utilisation
l'utilisation croissante de la randomisation utilisée par intensive de boutiques d'applications tierces non
les créateurs de malwares afin d'essayer d'échapper aux sécurisées dans ces pays.
détections de moteurs de sécurité mobile. Cela s'est
traduit par une augmentation du nombre de malwares
Android détectés.
Les attaques de malwares
diffèrent selon les pays et la
géographie
Nos données ont montré des différences régionales
dans la méthodologie d'attaque et le malware utilisé.
Sans surprise, les attaques visant les États-Unis et
l'Europe étaient très différenciées. Les États-Unis ont
enregistré le plus grand nombre de détections de
malwares et devancent tous les pays pour la détection
de chaque catégorie définie, sauf pour les chevaux de
Troie bancaires où la Turquie mène.
Parmi les catégories de malwares examinées dans ce
rapport, l'Europe est le continent le plus infecté par
les malwares et a connu 20 % plus d'infections que
l'Amérique du Nord et 17 fois plus que l'Océanie.
• L'Europe dépasse tous les continents en termes
de ransomwares : 49 % des ransomwares ont été
détectés sur des dispositifs basés en Europe.
• L'Europe dépasse tous les continents au niveau
des malwares Android : 31 % des malwares
Android ont été détectés sur des dispositifs
Figure 9. Ransomwares Android. basés en Europe.
7 Rapport sur l'état des malwares Malwarebytes 2017• L'Europe dépasse tous les continents en termes Le Royaume-Uni était le deuxième pays le plus visé
d'adwares : 37 % des adwares ont été détectés en Europe pour tous les types de malwares, derrière
sur des dispositifs basés en Europe. la France. Durant la période de six mois de notre
étude, le Royaume-Uni a connu presque deux fois plus
Les malwares européens visent la France, d'incidents que la Russie.
le Royaume-Uni et l'Espagne
Les pays les plus touchés par les malwares en Europe L'Allemagne est le deuxième pays le plus touché par
sont la France, le Royaume-Uni et l'Espagne, bien que les ransomwares après les États-Unis, ce qui soutient la
le Vatican ait connu la hausse la plus rapide, avec une théorie que les auteurs de malwares utilisent l'Allemagne
augmentation de 1 200 % de toutes les variantes de comme banc d'essai pour leurs produits avant une
malwares durant cette période. distribution plus large. Pendant ce temps, la Russie
a été disproportionnellement moins impactée par les
ransomwares mais reste une cible prisée des chevaux
de Troie bancaires.
Prévisions pour 2017
Ransomwares Distribution des malwares
Il est possible qu'avec les principaux ransomwares Au fil des ans, nous avons observé une seule véritable
occupant le devant de la scène à la fin de l'année, constante dans le développement des malwares : la
nous n'assistions probablement pas à l'introduction distribution par e-mail. Les attaques par hameçonnage,
de nouvelles familles avancées de ransomwares sur le notamment les pièces jointes malveillantes, ont fait
marché à cause de la sophistication et de la pénétration leur grand retour durant la seconde moitié de l'année.
de masse de Cerber et Locky. Plusieurs d'entre eux seront Néanmoins, nous prévoyons que les kits d'exploit
rapidement développés, uniquement pour tirer profit de la (particulièrement les RIG) redeviendront probablement la
popularité des ransomwares parmi les cybercriminels. référence pour la distribution de malwares dans un futur
très proche.
Cela va dans la continuité de la tendance initiée en 2016.
Presque 60 % des variantes de ransomwares détectées Nous n'assisterons pas à une disparition des attaques
durant les six derniers mois de 2016 avaient moins d'un malveillantes. En raison des nouveaux développements
an, ce qui laisse entendre que la plupart des ransomwares dans le téléchargement et l'installation des malwares
existants aujourd'hui sont développés par des nouveaux provenant d'e-mails d'hameçonnage, ainsi que l'utilisation
arrivants dans l'industrie du ransomware. des scripts de macro dans les documents Microsoft Office,
cette méthode d'attaque se maintiendra pour le reste de
Nous pourrions voir davantage de variantes modifier le l'année, probablement avec une sophistication croissante.
Master Boot Record (MBR) de l'ordinateur infecté. Il s'agit
d'un élément clé permettant au système de démarrer Internet des objets (IoT)
dans le système d'exploitation. Une fois modifié, le La hausse des cyber-attaques exploitant les objets
système démarrera dans un écran verrouillé installé par connectés, associée à une absence de préoccupation pour
le malware, qui demande une somme pour décrypter les la sécurité de la part de l'industrie des objets connectés,
fichiers mais également pour restaurer l'accès au système s'est traduite par des botnets comme Mirai capables de
d'exploitation principal. L'ajout de cette fonctionnalité s'attaquer à l'épine dorsale d'internet. Qu'importe ce que
réduit le nombre d'options de la victime à deux : soit payer l'industrie des objets connectés choisit de faire, fermer les
la rançon, soit effacer complètement le système. écoutilles ou complètement ignorer la sécurité, les portes
ont été ouvertes par des malwares tels que Mirai pour
d'autres stratégies d'attaque des objets connectés en 2017.
Rapport sur l'état des malwares Malwarebytes 2017 8À PROPOS DE MALWAREBYTES
Malwarebytes est l'entreprise de cybersécurité nouvelle génération à qui des millions
de personnes font confiance dans le monde entier. Malwarebytes protège de manière
proactive les particuliers et les entreprises contre les menaces dangereuses telles
que les malwares, les ransomwares et les exploits qui échappent à la vigilance des
solutions antivirus traditionnelles. Le produit phare de l'entreprise combine des
fonctionnalités avancées de détection heuristique des menaces avec des technologies
indépendantes des signatures afin de détecter et d'arrêter les cyberattaques avant
qu'elles ne causent des dégâts. Plus de 10 000 entreprises dans le monde entier font
confiance à Malwarebytes et recommandent ses solutions. Fondée en 2008 et basée en
Californie, la société possède des bureaux en Europe et en Asie et emploie une équipe
internationale de chercheurs spécialisés dans les menaces et d'experts de la sécurité.
Santa Clara, Californie, USA
malwarebytes.com
corporate-sales@malwarebytes.com
1.800.520.2796Vous pouvez aussi lire
