cadena

Cisco Umbrella découvre des menaces cybernétiques évolutives et complexes au cours du premier semestre 2020

Auteur : Austin McBride-Cisco Umbrella
04/11/2020
Cybersécurité
Avec des économies sous perfusion et un travail réalisé par visioconférence, il peut parfois sembler que le monde entier est en pause. Mais la réalité est que les cyberattaquants, eux, ne dorment pas. Leurs tactiques et leurs cibles évoluent, mais les menaces ne disparaissent pas.

Points clés

Au premier semestre 2020, Cisco Umbrella a identifié les tendances de menaces suivantes :

  • une évolution dans le réemploi des chevaux de Troie et des “droppers” pour de nouvelles formes de diffusion de malwares
  • une augmentation de l’obfuscation et de l’utilisation de macros ainsi que d’autres formes de malware “fileless”* afin de contourner les défenses antivirus traditionnelles
  • une hausse des menaces visant les prestataires de services managés (MSP)
  • une forte augmentation des campagnes de phishing liées à la thématique COVID-19

 

Réseau mondial Cisco Umbrella

Avant d’analyser les données, il est utile de rappeler comment le réseau mondial Cisco observe le paysage des menaces. Nos plus de 32 centres de données clients traitent plus de 220 milliards de requêtes DNS par jour. Cela nous donne une vision unique du trafic DNS mondial.

Cette analyse repose sur des logs DNS agrégés, associés à des données démographiques clients anonymisées et nettoyées.

Cisco Umbrella protège contre plus de 7 millions de domaines et adresses IP malveillants, tout en découvrant plus de 60 000 nouvelles destinations malveillantes (domaines, IP et URLs) chaque jour. Chaque nœud d’infrastructure d’attaque représente une opportunité de détection et de neutralisation avant qu’il ne soit utilisé dans de nouvelles attaques. Cisco estime qu’il vaut mieux prédire et prévenir les cyberattaques.

Le phishing passe en deuxième position derrière les malwares

En analysant l’ensemble de la base clients au premier semestre 2020 :

  • 91 % ont été exposés à un domaine lié à des malwares
  • 83 % à du phishing
  • 67 % à du cryptojacking
  • 60 % à des chevaux de Troie

L’an dernier, les chevaux de Troie étaient en deuxième position (59 %) et le phishing en quatrième (46 %). L’une des raisons de ce changement est la pandémie de COVID-19, qui a entraîné une forte augmentation des sites de phishing exploitant les peurs liées au virus.

Principales attaques observées

Sans surprise, le cryptominage occupe la première place en 2020 (comme en 2019 en volume de requêtes). Même si le volume global a diminué en 2020, cela n’a pas suffi à le faire reculer dans le classement.

Il est toutefois important de noter que le cryptominage génère naturellement plus de trafic DNS que d’autres attaques, ce qui rend son avance moins marquée qu’il n’y paraît.

Tendance 1 : une nouvelle forme de diffusion des malwares

On observe une évolution dans la réutilisation des chevaux de Troie et des droppers. Emotet arrive en deuxième position. Initialement conçu comme un cheval de Troie bancaire, il est devenu un puissant vecteur de distribution de malwares.

Grâce à son architecture modulaire, sa propagation de type ver et sa capacité à toucher un large nombre de victimes, Emotet est devenu un outil central pour la diffusion de multiples malwares.

Ursnif/Gozi est un autre exemple : il est utilisé à la fois comme malware autonome et comme dropper. Il exploite le détournement de conversations email et des services légitimes comme Google Drive.

Tendance 2 : montée en complexité, macros et malwares “fileless”

L’une des tendances majeures de 2020 est la montée d’attaques multi-étapes complexes utilisant des mécanismes légitimes (macros, PowerShell, etc.) pour échapper aux antivirus.

Exemple de chaîne d’attaque :
un email malveillant envoie un document contenant une macro → exécution de PowerShell → téléchargement d’un dropper → désactivation des protections → persistance → exfiltration de données → installation de TrickBot → compromission du réseau → ransomware final.

Des techniques comme la stéganographie (dissimulation de données dans des images) sont également utilisées pour exfiltrer des données via du trafic légitime.

Les attaquants exploitent aussi des automatisations légitimes (VBA, macros Excel, PowerShell) pour masquer leurs actions.

Tendance 3 : nouvelle cible privilégiée – les MSP

Les prestataires de services managés (MSP) deviennent la cible principale des attaques (28,47 %), dépassant les services financiers (23,49 %).

Le secteur de l’enseignement supérieur recule fortement, probablement en raison de la baisse de présence physique des étudiants.

Tendance 4 : la COVID-19 stimule le phishing

La pandémie a créé un terrain favorable aux attaques de phishing. Les cybercriminels exploitent les recherches liées aux tests, statistiques ou informations COVID-19.

Les pics de trafic malveillant lié au COVID ont augmenté :

  • jusqu’à +6,3x en Amérique du Nord
  • jusqu’à +13,2x hors Amérique du Nord

2020, une année toujours plus riche en menaces

Le premier semestre 2020 a été marqué par la pandémie et la généralisation du télétravail. Le paysage des menaces a évolué, mais les cybercriminels continuent d’adapter leurs méthodes.

Une pandémie peut ralentir les attaques… mais ne les arrête pas.

Si vous souhaitez en savoir plus sur la manière dont Cisco Umbrella peut protéger votre infrastructure IT, n’oubliez pas de vous inscrire à notre webinaire du 12 novembre.

webinar here 

Contactez-nous
En soumettant ce formulaire, vous acceptez la politique de protection des données de Proximus NXT
* champs obligatoires