Exempte d’attaque massive affichée en Une des journaux, l’année 2018 aura toutefois été marquée par l’apparition d’une multitude de nouveaux malwares. Des malwares souvent très sophistiqués, mais qui n’ont pas réussi à remplacer pour autant le bon vieux ransomware, qui n’a pas dit son dernier mot. État des lieux des malwares en 2018 avec l’équipe de Threat Intelligence Stormshield.
Pas de menace massive et médiatique à la WannaCry en 2018 donc, mais plutôt une multiplication de malwares de plus en plus sophistiqués. En témoigne la découverte au printemps dernier par Kaspersky Lab de Slingshot. Ce virus informatique est considéré comme l’un des plus perfectionnés à ce jour, un « chef d’œuvre » selon les chercheurs de la société Kaspersky Lab qui l’ont découvert. Via deux modules, GollumApp et Cahnadr, le malware Slingshot peut prendre la totale possession de l'ordinateur infecté et réaliser de multiples fonctions : récupération de données de tout type, réalisations de captures écrans ou encore sniffing des saisies clavier. Difficile à détecter, il va même jusqu'à s'adapter aux solutions de sécurité déployées grâce à une stratégie d'« anti-débogage ». À noter que ce virus ne vise pas seulement les sites internet, il cible également les ordinateurs reliés au routeur MikroTik.
Kaspersky researchers uncover a previously undetected highly-skilled APT #hacking group operating covertly since 2012, and infected Mikrotik routers to cleverly implant 'Slingshot' spying malware https://t.co/H2M8HLsPkk pic.twitter.com/hCkAnjiwjc
— The Hacker News (@TheHackersNews) 9 mars 2018
Une forte percée du crypto-minage
Hormis le cas Slingshot, la montée en puissance des malwares cette année a notamment été marquée par les logiciels malveillants de crypto-minage tels Coinhive et Cryptoloot. Selon le rapport de Skybox Security, ce type de cyber menace a représenté 32 % des attaques au 1er semestre 2018 contre 7 % au cours du 2e semestre de 2017. Et les volumes avancés dans le dernier rapport d'un autre acteur de la cybersécurité évoquent même une augmentation de 4 000% en un an ! Prisé par les cybercriminels non-experts car peu risqué et très rémunérateur, le cryptojacking consiste à infecter un PC avec des logiciels malveillants qui exploitent la puissance de traitement de la machine pour voler de la crypto-monnaie. Il s’agit d’un dévoiement de la technique du « minage », qui est un processus basé sur d’intenses calculs mathématiques visant à créer de la cryptomonnaie mais aussi à vérifier, authentifier et valider les transactions effectuées dans cette monnaie.
Les risques du social hacking
Autre menace en plein essor, la fraude ciblant les utilisateurs de réseaux sociaux. D’après le rapport d’un autre acteur de la cybersécurité, les techniques d’ingénierie sociale et de manipulation trompant la vigilance des internautes ont augmenté de 485 % au troisième trimestre 2018 par rapport à la même période l’an dernier ! Une menace qui peut exposer les données sensibles des entreprises. Or, tous les collaborateurs sont des cibles potentielles pour les social hackers : « les cybercriminels passent de plus en plus de temps pour connaître les centres d’intérêt de personnes appartenant l’entreprise visée avant de leur envoyer un e-mail personnalisé, leur permettant d’entrer dans le système de l’entreprise et d’y voler des données », explique Stéphane Prévost, Product Marketing Manager chez Stormshield.
Des botnets à tout faire
Dernière particularité à souligner en cette année 2018 : le recours croissant à des botnets multifonctions suffisamment polyvalents pour effectuer quasiment n’importe quelle tâche. Ces réseaux de machines infectées sont pilotés par des cybercriminels afin de propager des malwares et faciliter des attaques par déni de service (DDoS) ou spam. Selon le rapport de Kaspersky d’août 2018, le volume des fichiers RAT tels Njrat, DarkComet ou Nanocore diffusés par des botnets, a presque doublé, passant de 6,55 % à 12,22 %, par rapport au premier semestre 2017. « Le RAT Pony par exemple, peu sophistiqué, est très facile à se procurer et vise en priorité les cibles peu protégées », souligne Paul Fariello, membre de l’équipe de Security Intelligence.
Ransomware : la vraie menace
Mais toutes ces « nouvelles » attaques ne doivent pas faire perdre de vue que le bon vieux ransomware est plus que jamais dangereux. SamSam, une famille de ransomware active depuis 2015, a été à l’origine entre autres d’une attaque très médiatisée contre la ville d’Atlanta en mars dernier. Dans ce domaine, les cybercriminels ne manquent pas d’inventivité comme le montre les ransomwares GandCrab et DataKeeper, avec leurs mises à jour quasi quotidiennes. « Si la complexification des attaques est notable, le ransomware traditionnel (qui va venir chiffrer les données) reste de loin la menace la plus forte pour les TPE-PME », rappelle Paul Fariello. Ce n’est donc pas le moment de baisser la garde !