Vols d’identités en forte recrudescence. Danger à tous niveaux
Les données Firebox Feed pour le deuxième trimestre montrent que les cybercriminels n’ont jamais accordé autant d’intérêt aux vols d’identités, note WatchGuard Technologies.
Les cyber criminels portent un intérêt croissant aux vols d’identités; une proportion record (47%) de tous les malwares rencontrés sont nouveaux (inconnus jusqu’alors) ou ‘zero day’ et donc capables de contourner les solutions antivirus basées sur des signatures. Tel est le constat dressé par WatchGuard Technologies dans son dernier rapport trimestriel sur la sécurité Internet.
«Les données Firebox Feed pour le deuxième trimestre montrent que les cybercriminels n’ont jamais accordé autant d’intérêt aux vols d’identités, déclare Corey Nachreiner, Chief Technology Officer, WatchGuard Technologies. Des attaques de phishing basées sur JavaScript et autres tentatives de vol de mots de passe Linux aux attaques frontales contre des serveurs web, l’impression générale est que l’accès aux logins est devenue la première des priorités pour les criminels. Sachant cela, les entreprises doivent renforcer leurs serveurs les plus exposés, considérer sérieusement la mise en place de systèmes d’authentification forte, former leurs utilisateurs à identifier les attaques de phishing et mettre en oeuvre des solutions avancées de prévention contre les menaces pour protéger leurs données sensibles.»
Du code et des outils de téléchargement JavaScript
Dans son rapport, WatchGuard indique que Mimikatz représente 36% du top 10 des malwares détectés. Outil open source populaire utilisé pour le vol d’identités, Mimikatz a rejoint le top 10 des variantes de malwares détectés pour la première fois ce trimestre. Souvent employé pour voler et remplacer des mots de passe Windows, Mimikatz a été repéré avec une telle fréquence qu’il a remporté le titre de top malware pour le deuxième trimestre. Ce nouveau venu au sein des variantes de malware les plus courantes montre que les criminels font constamment évoluer leurs tactiques.
Autre constat : l’incorporation de code JavaScript malicieux dans les attaques de phishing. Depuis plusieurs trimestres, les criminels exploitent du code et des outils de téléchargement JavaScript pour délivrer des malwares dans des attaques à la fois via le web et les emails. Au deuxième trimestre, des attaquants ont utilisé JavaScript au sein d’attachements HTML dans des e-mails de phishing qui ressemblent à s’y méprendre à des pages de login vers de grands sites légitimes tels que Google, Microsoft ou d’autres dans le but d’inciter les utilisateurs à révéler leurs codes d’accès.
On voit aussi que de plus en plus d’attaquants ciblent des mots de passe Linux, principalement en Europe du Nord. Des cyber-criminels ont utilisé une ancienne vulnérabilité du système d’exploitation Linux pour cibler plusieurs pays scandinaves et les Pays-Bas via des attaques conçues pour voler des fichiers chiffrés de mots de passe. Une mise à jour des serveurs Linux s’impose donc.
Les antivirus basés sur des signatures de plus en plus inefficaces…
Autre tendance : une recrudescence des attaques frontales contre des serveurs web. Cet été, des attaquants ont utilisé des outils automatisés contre des serveurs web pour ‘craquer’ des identifiants utilisateurs. Confirmant la fréquence accrue des attaques basées sur le web contre des identifiants au second trimestre, les tentatives d’intrusion frontales visant des serveurs web pour dérober des mots de passe ont fait partie du top 10 des attaques réseau. Ce qui signifie encore que les serveurs web dépourvus de systèmes d’enregistrement des tentatives manquées de saisie d’identifiants s’exposent à des attaques automatisées essayant en continu des milliers de mots de passe par seconde.
Enfin, toujours selon WhatchGuard, près de la moitié des malwares détectés sont capables de contourner des solutions antivirus traditionnelles. A 47%, les malwares inconnus ou ‘zero day’ capables de passer au travers des antivirus traditionnels n’ont jamais été aussi nombreux. Ce chiffre montre que les antivirus basés sur des signatures sont de plus en plus inefficaces lorsqu’il s’agit de bloquer de nouvelles menaces, ce qui illustre la nécessité de disposer de solutions de détection comportementale pour traiter les APT, les menaces persistantes avancées.
