Rapport sur l'état des malwares 2017 - Malwarebytes

 
CONTINUER À LIRE
Rapport sur l'état des malwares 2017 - Malwarebytes
2017

Rapport sur l'état des malwares
Rapport sur l'état des malwares 2017 - Malwarebytes
TABLE DES MATIÈRES

01   Synthèse

01   Méthodologie

01   Les ransomwares prennent la première place et ciblent les entreprises

03   Top 10 des pays en termes de détections de ransomwares
03   Détections de ransomwares par continent
03   Top trois des familles de ransomwares détectées
04   Les détections de ransomwares diffèrent selon les cibles

05   Les malwares de fraude publicitaire touchent particulièrement les États-Unis

05   Top 10 des pays en matière de détections de fraude publicitaire
05   Répartition par pays des malwares Kovter détectés

05   Les botnets exploitent les dispositifs IoT pour semer la pagaille

06   Répartition par continent des botnets détectés

06   Les cybercriminels changent leurs tactiques de distribution des malwares

07   Les malwares Android deviennent plus intelligents

07   Répartition par pays des malwares détectés sur Android

07   Les attaques de malwares diffèrent selon les pays et la géographie

08   Prévisions pour 2017
Rapport sur l'état des malwares 2017 - Malwarebytes
Synthèse
En 2016, l'engouement médiatique a fait les gros titres. Les cyber-attaques et la cyber-sécurité, ou
plutôt leurs lacunes, ont attiré l'attention des médias du côté des entreprises et des consommateurs.
Elles ont même été au cœur de l'élection présidentielle américaine. À cet égard, on pourrait dire que
tous, même les personnes qui n'ont jamais été connectées, ont été touchés par les cyber-attaques et
le piratage informatique en 2016.

Méthodologie                                                     Les ransomwares prennent la
Nous avons examiné les données en utilisant ces                  première place et ciblent les
paramètres :                                                     entreprises
     • Presque un million de détections/impacts de
                                                                 En 2016, les ransomwares ont fait la une, et pour cause.
        malwares
                                                                 Alors que les malwares tels que les chevaux de Troie
     • Sur la période de juin à novembre 2016
                                                                 bancaires, les logiciels espions et les keyloggers exigent
        uniquement
                                                                 que le cybercriminel supervise plusieurs étapes avant
     • Près de 100 millions de dispositifs Windows et
                                                                 que l'argent ne soit versé sur son compte bancaire, les
        Android
                                                                 ransomwares consistent en un processus automatisé
     • Dans plus de 200 pays
                                                                 et ininterrompu. Les « script kiddies » (pirates avec peu
     • Dans les environnements du grand public et
                                                                 ou pas de compétence de codage) peuvent même
        des entreprises
                                                                 acheter des kits de ransomwares clé en main, connus
     • En se concentrant sur six catégories de
                                                                 sous le nom de « ransomwares en tant que service »
        menaces : ransomwares, fraudes publicitaires,
                                                                 (RaaS) qui permettent de contourner les difficultés du
        malwares Android, botnets, chevaux de Troie
                                                                 vol numérique. Durant le quatrième trimestre de 2016
        bancaires, et adwares
                                                                 uniquement, 400 variantes de ransomwares ont été
En outre, nous avons utilisé les informations obtenues           cataloguées. La majorité d'entre elles a été simplement
à partir de nos propres honeypots internes et nos efforts        créée par un nouveau groupe criminel qui essayait
de collecte pour identifier la distribution des malwares,        d'avoir sa part du gâteau.
et pas seulement les infections.
                                                                 Toutefois, la tendance des ransomwares n'est pas
Trois faits essentiels à retenir
                                                                 nouvelle : nous avons assisté à une croissance de leur
1.   Les ransomwares ont fait la une et sont devenus             distribution ces deux dernières années et avons observé
     la méthode d'attaque privilégiée contre les                 des familles spécifiques qui ont pris la première place
     entreprises.                                                sur le marché de la cybercriminalité.
2.   Les malwares de fraude publicitaire, en premier lieu
     le malware Kovter, ont parfois dépassé les limites
     de détection des ransomwares et ont représenté
     une menace considérable pour le grand public et les
     entreprises.
3.   Les botnets ont infecté et détourné les dispositifs
     Internet des objets (IoT) afin de lancer des attaques
     massives par déni de service (DDoS).

1            Rapport sur l'état des malwares Malwarebytes 2017
Rapport sur l'état des malwares 2017 - Malwarebytes
CHARGE UTILE EXPLOIT/SPAM                                       CHARGE UTILE EXPLOIT/SPAM
            RÉSUMÉ JUIN 2016                                                RÉSUMÉ NOV 2016

                         Ransomware 18 %

                                       Downloader 6 %                                                   Ransomware 66 %

                                             Porte dérobée 2 %

                                                                                                                 Downloader 5 %
                                                Banquier 5 %

                                                                                                                  Porte dérobée 3 %
                                                   Botnet 5 %
                                                                                                                      Banquier 0 %
                                                                                                                      Botnet 5 %

                                                                                                             Fraude
                                                                                                             publicitaire 10 %

                                       Fraude publicitaire 23 %
 Autre 41 %                                                                                         Autre 15 %

              Figure 1. Charges utiles juin 2016                            Figure 2. Charges utiles novembre 2016

La distribution des ransomwares entre juin et novembre 2016 a augmenté de 267 %. C'est une domination sans
précédent du paysage des menaces.

                                                                  Rapport sur l'état des malwares Malwarebytes 2017                2
Top 10 des pays en termes de                                     Détections de ransomwares par continent
détections de ransomwares
                                                                     1.   Europe                  49,26 %
    1.   États-Unis                                                  2.   Amérique du Nord        32,51 %
    2.   Allemagne                                                   3.   Asie                    9,84 %
    3.   Italie                                                      4.   Océanie                 3,72 %
    4.   Royaume-Uni                                                 5.   Amérique du Sud         3,67 %
    5.   France                                                      6.   Afrique                 1,00 %
    6.   Australie                                                   7.   Antarctique             0,00 %
    7.   Canada
    8.   Espagne
                                                                 Top des familles de ransomwares en 2016
    9.   Inde
                                                                 En 2016, trois principaux acteurs se sont distingués
    10. Autriche
                                                                 dans le jeu du ransomware. Un de ces acteurs
Il n'est pas surprenant que les États-Unis soient le             a abandonné la course et les deux autres continuent
pays avec le plus de détections de ransomwares.                  à rivaliser pour la dominer.
Plusieurs groupes de l'Europe de l'Est, et dans
le monde entier, visent les Américains en raison
de la grande accessibilité de sa population à la                 Top trois des familles de ransomwares
technologie mais également parce qu'elle a les                   détectées
moyens de payer la rançon, et éventuellement                          • TeslaCrypt
pour des raisons idéologiques.                                        • Locky
                                                                      • Cerber
La Russie semble manquer dans la liste. Ce
n'est pas parce que les citoyens russes ont une
bonne maîtrise de la sécurité informatique. Cela
pourrait plutôt suggérer que les développeurs
de ransomwares russes ne visent pas leur
propre pays.

3            Rapport sur l'état des malwares Malwarebytes 2017
Dans le graphique ci-dessous, vous pouvez voir les autres principales familles de ransomwares en 2016.

                      TENDANCES DES FAMILLES DE RANSOMWARES EN 2016

Figure 3. Tendances des familles de ransomwares en 2016.

Le début de l'année se caractérise par une croissance          Les détections de ransomwares diffèrent
vertigineuse de l'utilisation de TeslaCrypt. Néanmoins,        selon les cibles, même dans les régions
en mai, TeslaCrypt a fermé ses portes et a dévoilé la clé      à taux d'incidence élevée.
universelle de déchiffrement à toutes ses victimes.                 • 81 % des attaques de ransomwares détectées
                                                                       dans les entreprises ont eu lieu aux États-Unis.
                                                                    • 51 % des attaques de ransomwares détectées
                                                                       dans les environnements familiaux /de
                                                                       consommateurs ont eu lieu en Europe.

                                                               Les cybercriminels utilisant les ransomwares
                                                               ont concentré leurs efforts sur les entreprises,
Figure 4. TeslaCrypt disparaît. Utilisé avec la permission     particulièrement en Amérique du Nord, sans doute
de Bleeping Computer                                           parce qu'ils ont réalisé que ces entreprises sont celles
                                                               qui ont le plus à perdre et le plus de moyens pour
Lorsque TeslaCrypt a disparu, le vide créé a rapidement        payer. Sur le plan mondial, parmi les six catégories
été occupé par deux autres familles montantes : Locky          de malwares observées dans ce rapport, les
et Cerber. Sur la presque totalité des 3e et 4e trimestres     ransomwares représentaient 12,3 % des détections
de 2016, ces familles ont réussi à atteindre le même           dans les entreprises contre seulement 1,8 % du côté
niveau de distribution que TeslaCrypt en mars et mai.          des consommateurs.

                                                               Rapport sur l'état des malwares Malwarebytes 2017          4
Les malwares de fraude                                            En plus de cette utilisation novatrice du malware, la
                                                                  distribution de Kovter a également changé en 2016. Alors
publicitaire touchent                                             que Kovter s'était auparavant principalement propagé
particulièrement les États-Unis                                   dans les exploits drive-by et les kits d'exploit, nous avons
                                                                  également assisté à une augmentation massive des
Alors que les ransomwares ont été les malwares                    e-mails d'hameçonnage malveillants.
principaux en 2016, les malwares de fraude publicitaire
ont également figuré au premier plan. En fait, les                Ce changement de distribution, combiné au fait que la
détections de fraude publicitaire, particulièrement le            population américaine était une cible privilégiée pour les
malware Kovter, ont rivalisé avec les détections de               distributeurs de Kovter, a aidé Kovter à devenir l'une des
ransomwares pendant l'été.                                        plus grandes menaces en 2016, en particulier pour les
                                                                  Américains.
Top 10 des pays en matière de détections de
fraude publicitaire                                               Répartition par pays des malwares Kovter
     1.   États-Unis		          68,85 %
                                                                  détectés (top cinq)
     2.   Canada		              3,39 %                                 1.       États-Unis        68,64 %
     3.   France		              3,02 %                                 2.       Allemagne         2,58 %
     4.   Allemagne		           2,72 %                                 3.       Canada		          1,65 %
     5.   Italie		 2,26 %                                              4.       France		          1,34 %
     6.   Espagne		             2,10 %                                 5.       Italie		          1,30 %
     7.   Royaume-Uni           1,60 %
     8.   Australie		           0,96 %                            Le changement de méthodologie et de distribution de
     9.   Inde		 0,90 %                                           Kovter est significatif parce qu'il reflète la tendance de
     10. Pologne		              0,84 %                            croissance que nous observons chez les ransomwares.
                                                                  Kovter et les ransomwares sont tous deux une source de
Zoom sur le malware de fraude publicitaire Kovter                 profit direct pour les attaquants. Plutôt que de vendre des
Kovter est une des familles de malwares la plus avancée           récupérations de mot de passe, des informations de carte
actuellement en circulation. Elle inclut des fonctionnalités      de crédit et des comptes de réseaux sociaux à d'autres
sophistiquées, comme la capacité à infecter des systèmes          criminels, ces attaques demandent directement aux
sans déposer de fichiers mais en créant une clé de registre       victimes de payer pour récupérer leurs fichiers importants
spéciale, difficile à détecter par la plupart des antivirus. En   ou utilisent les victimes pour escroquer l'industrie
outre, Kovter utilise des fonctions de rootkit pour camoufler     publicitaire, ce qui représente plus de profit pour moins
sa présence et identifiera activement les solutions de            d'effort.
sécurité pour ensuite les désactiver.

Kovter n'est pas nouveau, il est apparu pour la première fois
                                                                  Les botnets exploitent les
en 2015. Il a historiquement été utilisé comme downloader         dispositifs IoT pour semer la
pour d'autres familles de malwares, un outil qui vole les
                                                                  pagaille
informations personnelles, et comme porte dérobée pour
les attaquants afin de s'introduire dans un système.              Les botnets (un réseau d'ordinateurs privés infectés par
                                                                  un malware et utilisé pour envoyer des spams) ont été
Cependant, en 2016, nous avons remarqué qu'il avait été           les mécanismes les plus communément développés
principalement utilisé comme malware de fraude publicitaire.      pour déployer les malwares ces 10 dernières années.
Il détourne le système et l'utilise pour visiter les sites web    Ceci grâce à la petite taille du botnet, sa capacité à se
et cliquer sur les publicités dans le but de créer plus de        camoufler, et son aptitude à exécuter d'innombrables
clics/vues pour une campagne publicitaire (connu comme            opérations.
détournement de clics). Il est utilisé soit par les criminels
à l'origine du déploiement de Kovter soit par leurs clients.

5            Rapport sur l'état des malwares Malwarebytes 2017
Cette année, nous avons assisté à une nouvelle              Les cybercriminels changent leurs tactiques
tactique botnet : compromettre, infecter et recruter        de distribution de malwares
les dispositifs IoT, tels que les thermostats connectés à   Un des plus grands changements apportés à la
internet ou les caméras de sécurité du domicile, pour       distribution en 2016 a été l'utilisation des scripts joints
les intégrer au botnet. Le botnet le plus connu pour        aux e-mails d'hameçonnage. Ces scripts se trouvent
s'attaquer aux objets connectés est Mirai, un malware       généralement dans un fichier ZIP et, une fois ouverts
libre qui infecte les dispositifs et prend le contrôle      et lancés, atteignent un serveur à distance pour
à partir d'un opérateur de commande et contrôle.            télécharger et installer un malware dans le système.
Fin septembre, une attaque massive a utilisé le botnet
Mirai pour compromettre de nombreux objets connectés
et routeurs familiaux, tous les dispositifs infectés
recevant ensuite des ordres d'une seule source. Une
fois l'armée de bots assemblée, l'attaquant a utilisé une
attaque par déni de service (DDoS) afin d'interrompre
l'accès à plusieurs sites web importants.
                                                            Figure 7. E-mail d'hameçonnage malveillant avec fichier
                                                            ZIP en pièce jointe.
Un mois plus tard, Mirai a été utilisé pour attaquer
l'un des piliers d'internet, Dyn, et a ainsi empêché        Une autre méthode qui est également devenue populaire
des millions d'utilisateurs d'accéder à des sites           en 2016 consiste à utiliser des scripts de macro dans des
populaires tels que Twitter, Reddit et Netflix. Une         documents Microsoft Office (.docx, .xlsx., etc.), pour qu'ils
des caractéristiques principales de Mirai n'était pas       s'exécutent une fois que l'utilisateur a ouvert le document
seulement de scruter le réseau à la recherche de            et autorisé les macros. En utilisant des tactiques
dispositifs connectés mais également d'utiliser une base    d'ingénierie sociale, les attaquants incitent l'utilisateur
de données interne de noms d'utilisateurs et de mots        à activer ces fonctionnalités qui permettent également
de passe par défaut pour accéder aux dispositifs. Après     de télécharger et d'exécuter le malware dans le système.
avoir accédé au dispositif et l'avoir infecté, Mirai est    En se basant sur une méthode préexistante d'infection,
capable de lancer des attaques DDoS contre toutes les       les attaquants ont poussé le raffinement en envoyant des
cibles souhaitées par l'opérateur.                          fichiers ZIP protégés et des documents Office, incluant le
                                                            mot de passe dans l'e-mail d'hameçonnage. Cela donne
L'Asie et l'Europe ont connu une recrudescence des          un sentiment de légitimité à l'attaque, en plus d'être une
variantes développées à partir des familles de botnets      méthode efficace d'éradication de l'analyse automatique
populaires. Par exemple, le botnet Kelihos a connu une      de l'e-mail d'attaque par les outils de recherche de
croissance de 785 % en juillet et de 960 % en octobre,      malwares, notamment les honeypots et les sandboxes.
alors qu'IRCBot s'est développé de 667 % en août et
Qbot de 261 % en novembre.

Répartition par continent des botnets
détectés
1.   Asie 			 61,15 %
2.   Europe			                     14,97 %
3.   Amérique du Nord              12,49 %
4.   Amérique du Sud		             6,56 %
5.   Afrique			                    4,32 %
6.   Océanie			                    0,51 %

L'Allemagne a fait face à un problème important de
botnet. Le pays a connu une augmentation de 550 % du        Figure 8. Document Word malveillant utilisant l'ingénierie
nombre de détections de botnets entre 2015 et 2016.         sociale pour inciter l'utilisateur à activer les macros.

                                                            Rapport sur l'état des malwares Malwarebytes 2017             6
Il y a eu une grande augmentation de l'utilisation des           Répartition par pays des malwares détectés
scripts de macro à la place des kits d'exploit en juin.          sur Android
Cela s'explique par l'arrêt des activités d'Angler, l'un
des principaux kits d'exploit en 2015 et début 2016.                 1.    États-Unis		        12,74 %

Cependant, le kit d'exploit RIG prend rapidement la place            2.    Brésil		 9,95 %

d'Angler, et il est probable qu'il restera présent en 2017.          3.    Indonésie		         6,54 %
                                                                     4.    Inde		 5,04 %
                                                                     5.    Espagne		           4,60 %
Les malwares Android                                                 6.    Philippines		       4,25 %
deviennent plus intelligents                                         7.    France		            4,24 %
                                                                     8.    Mexique		           3,87 %
Ces dernières années, le paysage des menaces sur
                                                                     9.    Royaume-Uni         3,59 %
les téléphones mobiles n'a pas beaucoup changé.
                                                                     10. Italie		 2,79 %
Les créateurs de malwares Android cherchent encore
à reproduire les fonctionnalités trouvées dans les               Curieusement, le Brésil, l'Indonésie, les Philippines
malwares de bureau Windows modernes, ce qui peut                 et le Mexique font partie du top 10 des pays ayant
s'avérer difficile avec un système d'exploitation Android.       détecté des malwares Android. La forte prévalence
                                                                 des détections de malwares Android dans les pays en
Cependant, une tendance notable de 2016 a été                    développement peut être expliquée par l'utilisation
l'utilisation croissante de la randomisation utilisée par        intensive de boutiques d'applications tierces non
les créateurs de malwares afin d'essayer d'échapper aux          sécurisées dans ces pays.
détections de moteurs de sécurité mobile. Cela s'est
traduit par une augmentation du nombre de malwares
Android détectés.
                                                                 Les attaques de malwares
                                                                 diffèrent selon les pays et la
                                                                 géographie
                                                                 Nos données ont montré des différences régionales
                                                                 dans la méthodologie d'attaque et le malware utilisé.
                                                                 Sans surprise, les attaques visant les États-Unis et
                                                                 l'Europe étaient très différenciées. Les États-Unis ont
                                                                 enregistré le plus grand nombre de détections de
                                                                 malwares et devancent tous les pays pour la détection
                                                                 de chaque catégorie définie, sauf pour les chevaux de
                                                                 Troie bancaires où la Turquie mène.

                                                                 Parmi les catégories de malwares examinées dans ce
                                                                 rapport, l'Europe est le continent le plus infecté par
                                                                 les malwares et a connu 20 % plus d'infections que
                                                                 l'Amérique du Nord et 17 fois plus que l'Océanie.

                                                                      • L'Europe dépasse tous les continents en termes
                                                                          de ransomwares : 49 % des ransomwares ont été
                                                                          détectés sur des dispositifs basés en Europe.
                                                                      • L'Europe dépasse tous les continents au niveau
                                                                          des malwares Android : 31 % des malwares
                                                                          Android ont été détectés sur des dispositifs
Figure 9. Ransomwares Android.                                            basés en Europe.

7            Rapport sur l'état des malwares Malwarebytes 2017
• L'Europe dépasse tous les continents en termes         Le Royaume-Uni était le deuxième pays le plus visé
       d'adwares : 37 % des adwares ont été détectés           en Europe pour tous les types de malwares, derrière
       sur des dispositifs basés en Europe.                    la France. Durant la période de six mois de notre
                                                               étude, le Royaume-Uni a connu presque deux fois plus
Les malwares européens visent la France,                       d'incidents que la Russie.
le Royaume-Uni et l'Espagne
Les pays les plus touchés par les malwares en Europe           L'Allemagne est le deuxième pays le plus touché par
sont la France, le Royaume-Uni et l'Espagne, bien que          les ransomwares après les États-Unis, ce qui soutient la
le Vatican ait connu la hausse la plus rapide, avec une        théorie que les auteurs de malwares utilisent l'Allemagne
augmentation de 1 200 % de toutes les variantes de             comme banc d'essai pour leurs produits avant une
malwares durant cette période.                                 distribution plus large. Pendant ce temps, la Russie
                                                               a été disproportionnellement moins impactée par les
                                                               ransomwares mais reste une cible prisée des chevaux
                                                               de Troie bancaires.

Prévisions pour 2017
Ransomwares                                                    Distribution des malwares
Il est possible qu'avec les principaux ransomwares             Au fil des ans, nous avons observé une seule véritable
occupant le devant de la scène à la fin de l'année,            constante dans le développement des malwares : la
nous n'assistions probablement pas à l'introduction            distribution par e-mail. Les attaques par hameçonnage,
de nouvelles familles avancées de ransomwares sur le           notamment les pièces jointes malveillantes, ont fait
marché à cause de la sophistication et de la pénétration       leur grand retour durant la seconde moitié de l'année.
de masse de Cerber et Locky. Plusieurs d'entre eux seront      Néanmoins, nous prévoyons que les kits d'exploit
rapidement développés, uniquement pour tirer profit de la      (particulièrement les RIG) redeviendront probablement la
popularité des ransomwares parmi les cybercriminels.           référence pour la distribution de malwares dans un futur
                                                               très proche.
Cela va dans la continuité de la tendance initiée en 2016.
Presque 60 % des variantes de ransomwares détectées            Nous n'assisterons pas à une disparition des attaques
durant les six derniers mois de 2016 avaient moins d'un        malveillantes. En raison des nouveaux développements
an, ce qui laisse entendre que la plupart des ransomwares      dans le téléchargement et l'installation des malwares
existants aujourd'hui sont développés par des nouveaux         provenant d'e-mails d'hameçonnage, ainsi que l'utilisation
arrivants dans l'industrie du ransomware.                      des scripts de macro dans les documents Microsoft Office,
                                                               cette méthode d'attaque se maintiendra pour le reste de
Nous pourrions voir davantage de variantes modifier le         l'année, probablement avec une sophistication croissante.
Master Boot Record (MBR) de l'ordinateur infecté. Il s'agit
d'un élément clé permettant au système de démarrer             Internet des objets (IoT)
dans le système d'exploitation. Une fois modifié, le           La hausse des cyber-attaques exploitant les objets
système démarrera dans un écran verrouillé installé par        connectés, associée à une absence de préoccupation pour
le malware, qui demande une somme pour décrypter les           la sécurité de la part de l'industrie des objets connectés,
fichiers mais également pour restaurer l'accès au système      s'est traduite par des botnets comme Mirai capables de
d'exploitation principal. L'ajout de cette fonctionnalité      s'attaquer à l'épine dorsale d'internet. Qu'importe ce que
réduit le nombre d'options de la victime à deux : soit payer   l'industrie des objets connectés choisit de faire, fermer les
la rançon, soit effacer complètement le système.               écoutilles ou complètement ignorer la sécurité, les portes
                                                               ont été ouvertes par des malwares tels que Mirai pour
                                                               d'autres stratégies d'attaque des objets connectés en 2017.

                                                               Rapport sur l'état des malwares Malwarebytes 2017             8
À PROPOS DE MALWAREBYTES
  Malwarebytes est l'entreprise de cybersécurité nouvelle génération à qui des millions
 de personnes font confiance dans le monde entier. Malwarebytes protège de manière
     proactive les particuliers et les entreprises contre les menaces dangereuses telles
    que les malwares, les ransomwares et les exploits qui échappent à la vigilance des
        solutions antivirus traditionnelles. Le produit phare de l'entreprise combine des
fonctionnalités avancées de détection heuristique des menaces avec des technologies
   indépendantes des signatures afin de détecter et d'arrêter les cyberattaques avant
  qu'elles ne causent des dégâts. Plus de 10 000 entreprises dans le monde entier font
confiance à Malwarebytes et recommandent ses solutions. Fondée en 2008 et basée en
 Californie, la société possède des bureaux en Europe et en Asie et emploie une équipe
 internationale de chercheurs spécialisés dans les menaces et d'experts de la sécurité.

                                                              Santa Clara, Californie, USA

                                                                      malwarebytes.com

                                                     corporate-sales@malwarebytes.com

                                                                          1.800.520.2796
Vous pouvez aussi lire