Rapport d’ESET sur les menaces au 4e trimestre de 2020

L’année 2020 a été mouvementée de bien de façons (« typique » n’étant pas l’une d’elles), et on peut se réjouir qu’elle soit dernière nous.

Comme si elle cherchait à prouver quelque chose, la pandémie a pris un nouvel essor au cours du dernier trimestre, entraînant les plus grandes vagues d'infections et de nouveaux blocages dans le monde. Au milieu de ce chaos, les lancements de vaccins tant attendus ont apporté un soupir de soulagement collectif - ou, du moins, une lueur d'espoir quelque part dans un avenir pas si lointain.

Dans le cyberespace, les événements ont également pris une tournure dramatique vers la fin de l'année, alors que les nouvelles de l'attaque de la chaîne d'approvisionnement de SolarWinds ont balayé l'industrie. Avec de nombreuses victimes de premier plan, cet incident nous rappelle brutalement la portée et l'impact potentiels de ce type d'attaques, qui sont également extrêmement difficiles à détecter et à prévenir.

Bien qu'elles ne soient pas toutes aussi terribles que le piratage de SolarWinds, les attaques de la chaîne d'approvisionnement deviennent une tendance majeure. En effet, et rien qu'au quatrième trimestre, ESET en a découvert autant que l'ensemble du secteur en a observait annuellement chaque année il y a quelques années. Et - vu tout ce que les cybercriminels ont à y gagner - leur nombre ne devrait que continuer à augmenter à l'avenir.

Heureusement, les acteurs de la menace ne sont pas les seuls à être à l'offensive. En octobre 2020, ESET a pris part à une campagne mondiale de perturbation visant TrickBot, l'un des plus grands réseaux de zombies et l'un de ceux qui ont la plus longue durée de vie. Grâce aux efforts combinés de tous ceux qui ont participé à cette opération, TrickBot a pris un coup dur avec 94 % de ses serveurs démantelés en une seule semaine.

Le travail à domicile étant la nouvelle norme dans de nombreux secteurs - l'un des plus grands changements apportés par la pandémie - l'énorme croissance de 768 % des attaques RDP entre le premier et le quatrième trimestre 2020 n'est pas surprenante. À mesure que la sécurité du travail à distance s'améliore, l'essor de ce type d'attaques devrait se ralentir - ce dont nous avons déjà vu quelques signes au quatrième trimestre. L'une des raisons les plus pressantes de prêter attention à la sécurité du RDP est le problème des rançongiciels, couramment déployés dans le cadre d'exploits du RDP, et qui représentent un grand risque pour les secteurs privé et public.

Au quatrième trimestre 2020, les ultimatums lancés par les gangs de rançon étaient plus agressifs que jamais, les acteurs de la menace exigeant probablement les montants de rançon les plus élevés à ce jour. Et tandis que Maze, un pionnier de la combinaison d'attaques par rançon et de la menace de doxing, a fermé boutique au quatrième trimestre, d'autres acteurs de la menace ont ajouté des techniques de plus en plus agressives pour augmenter la pression sur leurs victimes. Au vu de l'évolution turbulente des rançongiciels tout au long de l'année 2020, rien ne laisse penser que ces attaques effrénées ne se poursuivront pas en 2021.

La croissance des rançongiciels pourrait avoir été un facteur important dans le déclin des logiciels malveillants bancaires, un déclin qui ne s'est intensifié qu'au cours du dernier trimestre de l'année. Les rançons et autres activités malveillantes sont tout simplement plus rentables que les logiciels malveillants bancaires, dont les opérateurs doivent déjà faire face au renforcement de la sécurité dans le secteur bancaire. Il y a toutefois une exception à cette tendance : Les logiciels malveillants bancaires Android ont enregistré les plus hauts niveaux de détection de 2020 au quatrième trimestre, alimentés par la fuite du code source du cheval de Troie Cerberus.

La pandémie créant un terrain fertile pour toutes sortes d'activités malveillantes, il est pratiquement évident que les escrocs du courrier électronique ne voudraient pas être laissés pour compte. Notre télémétrie a montré que COVID-19 a été utilisé comme leurre dans des courriels illicites pendant toute l'année 2020. Le quatrième trimestre a également vu l'augmentation des arnaques aux vaccins utilisées comme appâts, une tendance qui devrait se poursuivre en 2021.

Dans une évolution similaire au boom des cryptomonnaies depuis 2017, la valeur du bitcoin a grimpé en flèche à la fin de cette année. Cela s'est accompagné d'une légère augmentation des détections de cryptomineurs, la première depuis octobre 2018. Si les cryptomonnaies poursuivent leur croissance, nous pouvons nous attendre à ce que les logiciels malveillants, l’hameçonnage et les escroqueries ciblant les cryptomonnaies deviennent plus répandus.

Le dernier trimestre de 2020 a également été riche en résultats de recherche, ESET Research ayant découvert un certain nombre d'attaques de la chaîne d'approvisionnement : une attaque de Lazarus en Corée du Sud, une attaque de la chaîne d'approvisionnement en Mongolie appelée Operation StealthyTrident, et l'attaque de la chaîne d'approvisionnement de l'Operation SignSight contre une autorité de certification au Vietnam. Nos chercheurs ont également découvert Crutch - une porte dérobée de Turla, auparavant non documentée - et XDSpy, un groupe d'APT opérant secrètement au moins depuis 2011.

ESET continue de contribuer activement à la base de connaissances MITRE ATT&CK, qui a vu l'ajout de cinq entrées ESET dans la mise à jour d'octobre. Comme toujours, les chercheurs d'ESET ont saisi de multiples occasions de partager leur expertise lors de diverses conférences virtuelles ce trimestre, en prenant la parole à Black Hat Asia, AVAR, CODE BLUE, et bien d'autres.

Le Rapport d’ESET sur les menaces Q4 2020 offre non seulement une vue d'ensemble du paysage de la menace du 4e trimestre, mais aussi des commentaires sur les tendances plus générales observées tout au long de 2020 ainsi que des prévisions pour 2021 par les spécialistes de la recherche et de la détection des logiciels malveillants d'ESET. Pour ceux qui sont particulièrement intéressés par les mises à jour des recherches d’ESET, le rapport fournit également des informations inédites concernant les opérations du groupe APT, telles que l'opération In(ter)ception, InvisiMole, PipeMon, et plus encore.