Rapport sur l'état des malwares 2017 - Malwarebytes
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
TABLE DES MATIÈRES 01 Synthèse 01 Méthodologie 01 Les ransomwares prennent la première place et ciblent les entreprises 03 Top 10 des pays en termes de détections de ransomwares 03 Détections de ransomwares par continent 03 Top trois des familles de ransomwares détectées 04 Les détections de ransomwares diffèrent selon les cibles 05 Les malwares de fraude publicitaire touchent particulièrement les États-Unis 05 Top 10 des pays en matière de détections de fraude publicitaire 05 Répartition par pays des malwares Kovter détectés 05 Les botnets exploitent les dispositifs IoT pour semer la pagaille 06 Répartition par continent des botnets détectés 06 Les cybercriminels changent leurs tactiques de distribution des malwares 07 Les malwares Android deviennent plus intelligents 07 Répartition par pays des malwares détectés sur Android 07 Les attaques de malwares diffèrent selon les pays et la géographie 08 Prévisions pour 2017
Synthèse En 2016, l'engouement médiatique a fait les gros titres. Les cyber-attaques et la cyber-sécurité, ou plutôt leurs lacunes, ont attiré l'attention des médias du côté des entreprises et des consommateurs. Elles ont même été au cœur de l'élection présidentielle américaine. À cet égard, on pourrait dire que tous, même les personnes qui n'ont jamais été connectées, ont été touchés par les cyber-attaques et le piratage informatique en 2016. Méthodologie Les ransomwares prennent la Nous avons examiné les données en utilisant ces première place et ciblent les paramètres : entreprises • Presque un million de détections/impacts de En 2016, les ransomwares ont fait la une, et pour cause. malwares Alors que les malwares tels que les chevaux de Troie • Sur la période de juin à novembre 2016 bancaires, les logiciels espions et les keyloggers exigent uniquement que le cybercriminel supervise plusieurs étapes avant • Près de 100 millions de dispositifs Windows et que l'argent ne soit versé sur son compte bancaire, les Android ransomwares consistent en un processus automatisé • Dans plus de 200 pays et ininterrompu. Les « script kiddies » (pirates avec peu • Dans les environnements du grand public et ou pas de compétence de codage) peuvent même des entreprises acheter des kits de ransomwares clé en main, connus • En se concentrant sur six catégories de sous le nom de « ransomwares en tant que service » menaces : ransomwares, fraudes publicitaires, (RaaS) qui permettent de contourner les difficultés du malwares Android, botnets, chevaux de Troie vol numérique. Durant le quatrième trimestre de 2016 bancaires, et adwares uniquement, 400 variantes de ransomwares ont été En outre, nous avons utilisé les informations obtenues cataloguées. La majorité d'entre elles a été simplement à partir de nos propres honeypots internes et nos efforts créée par un nouveau groupe criminel qui essayait de collecte pour identifier la distribution des malwares, d'avoir sa part du gâteau. et pas seulement les infections. Toutefois, la tendance des ransomwares n'est pas Trois faits essentiels à retenir nouvelle : nous avons assisté à une croissance de leur 1. Les ransomwares ont fait la une et sont devenus distribution ces deux dernières années et avons observé la méthode d'attaque privilégiée contre les des familles spécifiques qui ont pris la première place entreprises. sur le marché de la cybercriminalité. 2. Les malwares de fraude publicitaire, en premier lieu le malware Kovter, ont parfois dépassé les limites de détection des ransomwares et ont représenté une menace considérable pour le grand public et les entreprises. 3. Les botnets ont infecté et détourné les dispositifs Internet des objets (IoT) afin de lancer des attaques massives par déni de service (DDoS). 1 Rapport sur l'état des malwares Malwarebytes 2017
CHARGE UTILE EXPLOIT/SPAM CHARGE UTILE EXPLOIT/SPAM RÉSUMÉ JUIN 2016 RÉSUMÉ NOV 2016 Ransomware 18 % Downloader 6 % Ransomware 66 % Porte dérobée 2 % Downloader 5 % Banquier 5 % Porte dérobée 3 % Botnet 5 % Banquier 0 % Botnet 5 % Fraude publicitaire 10 % Fraude publicitaire 23 % Autre 41 % Autre 15 % Figure 1. Charges utiles juin 2016 Figure 2. Charges utiles novembre 2016 La distribution des ransomwares entre juin et novembre 2016 a augmenté de 267 %. C'est une domination sans précédent du paysage des menaces. Rapport sur l'état des malwares Malwarebytes 2017 2
Top 10 des pays en termes de Détections de ransomwares par continent détections de ransomwares 1. Europe 49,26 % 1. États-Unis 2. Amérique du Nord 32,51 % 2. Allemagne 3. Asie 9,84 % 3. Italie 4. Océanie 3,72 % 4. Royaume-Uni 5. Amérique du Sud 3,67 % 5. France 6. Afrique 1,00 % 6. Australie 7. Antarctique 0,00 % 7. Canada 8. Espagne Top des familles de ransomwares en 2016 9. Inde En 2016, trois principaux acteurs se sont distingués 10. Autriche dans le jeu du ransomware. Un de ces acteurs Il n'est pas surprenant que les États-Unis soient le a abandonné la course et les deux autres continuent pays avec le plus de détections de ransomwares. à rivaliser pour la dominer. Plusieurs groupes de l'Europe de l'Est, et dans le monde entier, visent les Américains en raison de la grande accessibilité de sa population à la Top trois des familles de ransomwares technologie mais également parce qu'elle a les détectées moyens de payer la rançon, et éventuellement • TeslaCrypt pour des raisons idéologiques. • Locky • Cerber La Russie semble manquer dans la liste. Ce n'est pas parce que les citoyens russes ont une bonne maîtrise de la sécurité informatique. Cela pourrait plutôt suggérer que les développeurs de ransomwares russes ne visent pas leur propre pays. 3 Rapport sur l'état des malwares Malwarebytes 2017
Dans le graphique ci-dessous, vous pouvez voir les autres principales familles de ransomwares en 2016. TENDANCES DES FAMILLES DE RANSOMWARES EN 2016 Figure 3. Tendances des familles de ransomwares en 2016. Le début de l'année se caractérise par une croissance Les détections de ransomwares diffèrent vertigineuse de l'utilisation de TeslaCrypt. Néanmoins, selon les cibles, même dans les régions en mai, TeslaCrypt a fermé ses portes et a dévoilé la clé à taux d'incidence élevée. universelle de déchiffrement à toutes ses victimes. • 81 % des attaques de ransomwares détectées dans les entreprises ont eu lieu aux États-Unis. • 51 % des attaques de ransomwares détectées dans les environnements familiaux /de consommateurs ont eu lieu en Europe. Les cybercriminels utilisant les ransomwares ont concentré leurs efforts sur les entreprises, Figure 4. TeslaCrypt disparaît. Utilisé avec la permission particulièrement en Amérique du Nord, sans doute de Bleeping Computer parce qu'ils ont réalisé que ces entreprises sont celles qui ont le plus à perdre et le plus de moyens pour Lorsque TeslaCrypt a disparu, le vide créé a rapidement payer. Sur le plan mondial, parmi les six catégories été occupé par deux autres familles montantes : Locky de malwares observées dans ce rapport, les et Cerber. Sur la presque totalité des 3e et 4e trimestres ransomwares représentaient 12,3 % des détections de 2016, ces familles ont réussi à atteindre le même dans les entreprises contre seulement 1,8 % du côté niveau de distribution que TeslaCrypt en mars et mai. des consommateurs. Rapport sur l'état des malwares Malwarebytes 2017 4
Les malwares de fraude En plus de cette utilisation novatrice du malware, la distribution de Kovter a également changé en 2016. Alors publicitaire touchent que Kovter s'était auparavant principalement propagé particulièrement les États-Unis dans les exploits drive-by et les kits d'exploit, nous avons également assisté à une augmentation massive des Alors que les ransomwares ont été les malwares e-mails d'hameçonnage malveillants. principaux en 2016, les malwares de fraude publicitaire ont également figuré au premier plan. En fait, les Ce changement de distribution, combiné au fait que la détections de fraude publicitaire, particulièrement le population américaine était une cible privilégiée pour les malware Kovter, ont rivalisé avec les détections de distributeurs de Kovter, a aidé Kovter à devenir l'une des ransomwares pendant l'été. plus grandes menaces en 2016, en particulier pour les Américains. Top 10 des pays en matière de détections de fraude publicitaire Répartition par pays des malwares Kovter 1. États-Unis 68,85 % détectés (top cinq) 2. Canada 3,39 % 1. États-Unis 68,64 % 3. France 3,02 % 2. Allemagne 2,58 % 4. Allemagne 2,72 % 3. Canada 1,65 % 5. Italie 2,26 % 4. France 1,34 % 6. Espagne 2,10 % 5. Italie 1,30 % 7. Royaume-Uni 1,60 % 8. Australie 0,96 % Le changement de méthodologie et de distribution de 9. Inde 0,90 % Kovter est significatif parce qu'il reflète la tendance de 10. Pologne 0,84 % croissance que nous observons chez les ransomwares. Kovter et les ransomwares sont tous deux une source de Zoom sur le malware de fraude publicitaire Kovter profit direct pour les attaquants. Plutôt que de vendre des Kovter est une des familles de malwares la plus avancée récupérations de mot de passe, des informations de carte actuellement en circulation. Elle inclut des fonctionnalités de crédit et des comptes de réseaux sociaux à d'autres sophistiquées, comme la capacité à infecter des systèmes criminels, ces attaques demandent directement aux sans déposer de fichiers mais en créant une clé de registre victimes de payer pour récupérer leurs fichiers importants spéciale, difficile à détecter par la plupart des antivirus. En ou utilisent les victimes pour escroquer l'industrie outre, Kovter utilise des fonctions de rootkit pour camoufler publicitaire, ce qui représente plus de profit pour moins sa présence et identifiera activement les solutions de d'effort. sécurité pour ensuite les désactiver. Kovter n'est pas nouveau, il est apparu pour la première fois Les botnets exploitent les en 2015. Il a historiquement été utilisé comme downloader dispositifs IoT pour semer la pour d'autres familles de malwares, un outil qui vole les pagaille informations personnelles, et comme porte dérobée pour les attaquants afin de s'introduire dans un système. Les botnets (un réseau d'ordinateurs privés infectés par un malware et utilisé pour envoyer des spams) ont été Cependant, en 2016, nous avons remarqué qu'il avait été les mécanismes les plus communément développés principalement utilisé comme malware de fraude publicitaire. pour déployer les malwares ces 10 dernières années. Il détourne le système et l'utilise pour visiter les sites web Ceci grâce à la petite taille du botnet, sa capacité à se et cliquer sur les publicités dans le but de créer plus de camoufler, et son aptitude à exécuter d'innombrables clics/vues pour une campagne publicitaire (connu comme opérations. détournement de clics). Il est utilisé soit par les criminels à l'origine du déploiement de Kovter soit par leurs clients. 5 Rapport sur l'état des malwares Malwarebytes 2017
Cette année, nous avons assisté à une nouvelle Les cybercriminels changent leurs tactiques tactique botnet : compromettre, infecter et recruter de distribution de malwares les dispositifs IoT, tels que les thermostats connectés à Un des plus grands changements apportés à la internet ou les caméras de sécurité du domicile, pour distribution en 2016 a été l'utilisation des scripts joints les intégrer au botnet. Le botnet le plus connu pour aux e-mails d'hameçonnage. Ces scripts se trouvent s'attaquer aux objets connectés est Mirai, un malware généralement dans un fichier ZIP et, une fois ouverts libre qui infecte les dispositifs et prend le contrôle et lancés, atteignent un serveur à distance pour à partir d'un opérateur de commande et contrôle. télécharger et installer un malware dans le système. Fin septembre, une attaque massive a utilisé le botnet Mirai pour compromettre de nombreux objets connectés et routeurs familiaux, tous les dispositifs infectés recevant ensuite des ordres d'une seule source. Une fois l'armée de bots assemblée, l'attaquant a utilisé une attaque par déni de service (DDoS) afin d'interrompre l'accès à plusieurs sites web importants. Figure 7. E-mail d'hameçonnage malveillant avec fichier ZIP en pièce jointe. Un mois plus tard, Mirai a été utilisé pour attaquer l'un des piliers d'internet, Dyn, et a ainsi empêché Une autre méthode qui est également devenue populaire des millions d'utilisateurs d'accéder à des sites en 2016 consiste à utiliser des scripts de macro dans des populaires tels que Twitter, Reddit et Netflix. Une documents Microsoft Office (.docx, .xlsx., etc.), pour qu'ils des caractéristiques principales de Mirai n'était pas s'exécutent une fois que l'utilisateur a ouvert le document seulement de scruter le réseau à la recherche de et autorisé les macros. En utilisant des tactiques dispositifs connectés mais également d'utiliser une base d'ingénierie sociale, les attaquants incitent l'utilisateur de données interne de noms d'utilisateurs et de mots à activer ces fonctionnalités qui permettent également de passe par défaut pour accéder aux dispositifs. Après de télécharger et d'exécuter le malware dans le système. avoir accédé au dispositif et l'avoir infecté, Mirai est En se basant sur une méthode préexistante d'infection, capable de lancer des attaques DDoS contre toutes les les attaquants ont poussé le raffinement en envoyant des cibles souhaitées par l'opérateur. fichiers ZIP protégés et des documents Office, incluant le mot de passe dans l'e-mail d'hameçonnage. Cela donne L'Asie et l'Europe ont connu une recrudescence des un sentiment de légitimité à l'attaque, en plus d'être une variantes développées à partir des familles de botnets méthode efficace d'éradication de l'analyse automatique populaires. Par exemple, le botnet Kelihos a connu une de l'e-mail d'attaque par les outils de recherche de croissance de 785 % en juillet et de 960 % en octobre, malwares, notamment les honeypots et les sandboxes. alors qu'IRCBot s'est développé de 667 % en août et Qbot de 261 % en novembre. Répartition par continent des botnets détectés 1. Asie 61,15 % 2. Europe 14,97 % 3. Amérique du Nord 12,49 % 4. Amérique du Sud 6,56 % 5. Afrique 4,32 % 6. Océanie 0,51 % L'Allemagne a fait face à un problème important de botnet. Le pays a connu une augmentation de 550 % du Figure 8. Document Word malveillant utilisant l'ingénierie nombre de détections de botnets entre 2015 et 2016. sociale pour inciter l'utilisateur à activer les macros. Rapport sur l'état des malwares Malwarebytes 2017 6
Il y a eu une grande augmentation de l'utilisation des Répartition par pays des malwares détectés scripts de macro à la place des kits d'exploit en juin. sur Android Cela s'explique par l'arrêt des activités d'Angler, l'un des principaux kits d'exploit en 2015 et début 2016. 1. États-Unis 12,74 % Cependant, le kit d'exploit RIG prend rapidement la place 2. Brésil 9,95 % d'Angler, et il est probable qu'il restera présent en 2017. 3. Indonésie 6,54 % 4. Inde 5,04 % 5. Espagne 4,60 % Les malwares Android 6. Philippines 4,25 % deviennent plus intelligents 7. France 4,24 % 8. Mexique 3,87 % Ces dernières années, le paysage des menaces sur 9. Royaume-Uni 3,59 % les téléphones mobiles n'a pas beaucoup changé. 10. Italie 2,79 % Les créateurs de malwares Android cherchent encore à reproduire les fonctionnalités trouvées dans les Curieusement, le Brésil, l'Indonésie, les Philippines malwares de bureau Windows modernes, ce qui peut et le Mexique font partie du top 10 des pays ayant s'avérer difficile avec un système d'exploitation Android. détecté des malwares Android. La forte prévalence des détections de malwares Android dans les pays en Cependant, une tendance notable de 2016 a été développement peut être expliquée par l'utilisation l'utilisation croissante de la randomisation utilisée par intensive de boutiques d'applications tierces non les créateurs de malwares afin d'essayer d'échapper aux sécurisées dans ces pays. détections de moteurs de sécurité mobile. Cela s'est traduit par une augmentation du nombre de malwares Android détectés. Les attaques de malwares diffèrent selon les pays et la géographie Nos données ont montré des différences régionales dans la méthodologie d'attaque et le malware utilisé. Sans surprise, les attaques visant les États-Unis et l'Europe étaient très différenciées. Les États-Unis ont enregistré le plus grand nombre de détections de malwares et devancent tous les pays pour la détection de chaque catégorie définie, sauf pour les chevaux de Troie bancaires où la Turquie mène. Parmi les catégories de malwares examinées dans ce rapport, l'Europe est le continent le plus infecté par les malwares et a connu 20 % plus d'infections que l'Amérique du Nord et 17 fois plus que l'Océanie. • L'Europe dépasse tous les continents en termes de ransomwares : 49 % des ransomwares ont été détectés sur des dispositifs basés en Europe. • L'Europe dépasse tous les continents au niveau des malwares Android : 31 % des malwares Android ont été détectés sur des dispositifs Figure 9. Ransomwares Android. basés en Europe. 7 Rapport sur l'état des malwares Malwarebytes 2017
• L'Europe dépasse tous les continents en termes Le Royaume-Uni était le deuxième pays le plus visé d'adwares : 37 % des adwares ont été détectés en Europe pour tous les types de malwares, derrière sur des dispositifs basés en Europe. la France. Durant la période de six mois de notre étude, le Royaume-Uni a connu presque deux fois plus Les malwares européens visent la France, d'incidents que la Russie. le Royaume-Uni et l'Espagne Les pays les plus touchés par les malwares en Europe L'Allemagne est le deuxième pays le plus touché par sont la France, le Royaume-Uni et l'Espagne, bien que les ransomwares après les États-Unis, ce qui soutient la le Vatican ait connu la hausse la plus rapide, avec une théorie que les auteurs de malwares utilisent l'Allemagne augmentation de 1 200 % de toutes les variantes de comme banc d'essai pour leurs produits avant une malwares durant cette période. distribution plus large. Pendant ce temps, la Russie a été disproportionnellement moins impactée par les ransomwares mais reste une cible prisée des chevaux de Troie bancaires. Prévisions pour 2017 Ransomwares Distribution des malwares Il est possible qu'avec les principaux ransomwares Au fil des ans, nous avons observé une seule véritable occupant le devant de la scène à la fin de l'année, constante dans le développement des malwares : la nous n'assistions probablement pas à l'introduction distribution par e-mail. Les attaques par hameçonnage, de nouvelles familles avancées de ransomwares sur le notamment les pièces jointes malveillantes, ont fait marché à cause de la sophistication et de la pénétration leur grand retour durant la seconde moitié de l'année. de masse de Cerber et Locky. Plusieurs d'entre eux seront Néanmoins, nous prévoyons que les kits d'exploit rapidement développés, uniquement pour tirer profit de la (particulièrement les RIG) redeviendront probablement la popularité des ransomwares parmi les cybercriminels. référence pour la distribution de malwares dans un futur très proche. Cela va dans la continuité de la tendance initiée en 2016. Presque 60 % des variantes de ransomwares détectées Nous n'assisterons pas à une disparition des attaques durant les six derniers mois de 2016 avaient moins d'un malveillantes. En raison des nouveaux développements an, ce qui laisse entendre que la plupart des ransomwares dans le téléchargement et l'installation des malwares existants aujourd'hui sont développés par des nouveaux provenant d'e-mails d'hameçonnage, ainsi que l'utilisation arrivants dans l'industrie du ransomware. des scripts de macro dans les documents Microsoft Office, cette méthode d'attaque se maintiendra pour le reste de Nous pourrions voir davantage de variantes modifier le l'année, probablement avec une sophistication croissante. Master Boot Record (MBR) de l'ordinateur infecté. Il s'agit d'un élément clé permettant au système de démarrer Internet des objets (IoT) dans le système d'exploitation. Une fois modifié, le La hausse des cyber-attaques exploitant les objets système démarrera dans un écran verrouillé installé par connectés, associée à une absence de préoccupation pour le malware, qui demande une somme pour décrypter les la sécurité de la part de l'industrie des objets connectés, fichiers mais également pour restaurer l'accès au système s'est traduite par des botnets comme Mirai capables de d'exploitation principal. L'ajout de cette fonctionnalité s'attaquer à l'épine dorsale d'internet. Qu'importe ce que réduit le nombre d'options de la victime à deux : soit payer l'industrie des objets connectés choisit de faire, fermer les la rançon, soit effacer complètement le système. écoutilles ou complètement ignorer la sécurité, les portes ont été ouvertes par des malwares tels que Mirai pour d'autres stratégies d'attaque des objets connectés en 2017. Rapport sur l'état des malwares Malwarebytes 2017 8
À PROPOS DE MALWAREBYTES Malwarebytes est l'entreprise de cybersécurité nouvelle génération à qui des millions de personnes font confiance dans le monde entier. Malwarebytes protège de manière proactive les particuliers et les entreprises contre les menaces dangereuses telles que les malwares, les ransomwares et les exploits qui échappent à la vigilance des solutions antivirus traditionnelles. Le produit phare de l'entreprise combine des fonctionnalités avancées de détection heuristique des menaces avec des technologies indépendantes des signatures afin de détecter et d'arrêter les cyberattaques avant qu'elles ne causent des dégâts. Plus de 10 000 entreprises dans le monde entier font confiance à Malwarebytes et recommandent ses solutions. Fondée en 2008 et basée en Californie, la société possède des bureaux en Europe et en Asie et emploie une équipe internationale de chercheurs spécialisés dans les menaces et d'experts de la sécurité. Santa Clara, Californie, USA malwarebytes.com corporate-sales@malwarebytes.com 1.800.520.2796
Vous pouvez aussi lire