Rapport ESET sur les menaces T3 2021

Un aperçu des menaces durant T3 2021, tel que vu par la télémétrie d'ESET et du point de vue des experts en détection des menaces et en recherche d'ESET.

Un aperçu des menaces durant T3 2021, tel que vu par la télémétrie d’ESET et du point de vue des experts en détection des menaces et en recherche d’ESET.

Si 2020 a été l’année des attaques de la chaîne d’approvisionnement (et, oui, du début de la crise mondiale du COVID-19), 2021 a été définie par des vulnérabilités d’une gravité choquante (…et par la vaccination).

L’année a commencé en fanfare, lorsque les serveurs Microsoft Exchange du monde entier se sont retrouvés ciblés par au moins dix groupes APT. ProxyLogon, la chaîne de vulnérabilités à la base de ces attaques, a fini par être le deuxième vecteur d’attaque externe le plus fréquent en 2021 selon la télémétrie d’ESET, juste après les attaques par devinette de mot de passe. Comme vous le lirez dans le rapport sur les menaces T3 2021 d’ESET, les serveurs Microsoft Exchange ont de nouveau été assiégés en août 2021, avec le successeur de ProxyLogon, nommé ProxyShell, exploité dans le monde entier par plusieurs groupes de menaces.

Lorsqu’une faille critique dans l’omniprésent utilitaire Log4j a fait surface à la mi-décembre, les équipes informatiques du monde entier ont dû se démener, une fois de plus, pour localiser et corriger la faille dans leurs systèmes. Cette vulnérabilité, qui a obtenu un score de 10 sur l’échelle CVSS, a exposé d’innombrables serveurs au risque d’une prise de contrôle complète – il n’est donc pas surprenant que les cybercriminels aient immédiatement commencé à l’exploiter. Bien qu’elles n’aient été connues qu’au cours des trois dernières semaines de l’année, les attaques Log4j ont été le cinquième vecteur d’intrusion externe le plus courant dans nos statistiques de 2021, ce qui montre à quel point les acteurs de la menace tirent rapidement parti des nouvelles vulnérabilités critiques.

La fin de l’année a également été agitée dans le domaine des attaques RDP, qui ont connu une escalade tout au long de 2020 et 2021. Les chiffres des dernières semaines de T3 2021 ont battu tous les records précédents, s’élevant à une croissance annuelle stupéfiante de 897 % du total des tentatives d’attaque bloquées – malgré le fait que 2021 n’était plus marqué par la valse des confinements imposés et des transitions précipitées vers le travail à distance. La seule bonne nouvelle du front des attaques RDP, comme indiqué dans la section « Exploits » de ce rapport, est probablement que le nombre de cibles a progressivement diminué, mais il ne semble pas que le déchaînement soit sur le point de s’arrêter.

Les rançongiciels, précédemment décrits dans notre rapport sur les menaces du quatrième trimestre 2020 comme « plus agressifs que jamais », ont dépassé les pires attentes en 2021, avec des attaques contre des infrastructures critiques, des demandes de rançon au montant scandaleux et plus de 5 milliards $ US de transactions en bitcoins liées à des paiements potentiels de rançongiciels identifiés au cours du seul premier semestre 2021.

Cependant, la pression s’est également accrue de l’autre côté, représentée par une activité fébrile des forces de l’ordre contre les rançongiciels et d’autres activités cybercriminelles. Si l’intensité de la répression a contraint plusieurs gangs à prendre la poudre d’escampette – et même à divulguer des clés de déchiffrement – il semble que certains attaquants ne fassent que s’enhardir : Le T3 a vu l’ultimatum de rançon le plus élevé à ce jour, 240 millions de dollars, soit plus du triple du record mentionné dans notre dernier rapport.

Et pour ajouter un autre record historique : alors que le taux de change du bitcoin a atteint son point le plus élevé jusqu’à présent en novembre 2021, les experts d’ESET ont observé un afflux de menaces ciblant les crypto-monnaies, encore renforcées par la popularité récente des NFT (jetons non fongibles).

Dans le monde du mobile, nous avons noté une recrudescence alarmante des détections de logiciels malveillants bancaires Android, qui ont augmenté de 428 % en 2021 par rapport à 2020, atteignant les niveaux de détection des adwares – une nuisance courante sur la plateforme. Inutile de dire que le potentiel de dommages de ces deux menaces n’est pas comparable, et nous ne pouvons qu’espérer que la tendance à la baisse observée pour les logiciels malveillants bancaires au T3 2021 se répercute en 2022.

Les menaces par courrier électronique, porte d’entrée d’une myriade d’autres attaques, ont vu leur nombre de détections annuelles plus que doubler. Cette tendance est principalement due à une augmentation des courriels d’hameçonnage, qui a plus que compensé le déclin rapide des macros malveillantes de la signature d’Emotet dans les pièces jointes des courriels. Emotet, inactif pendant la majeure partie de l’année, est revenu d’entre les morts en T3, ses opérateurs tentant de reconstruire son infrastructure avec le soutien de Trickbot. En 2022, les analystes en logiciels malveillants d’ESET s’attendent à ce que le botnet se développe rapidement, repoussant le logiciel malveillant dans les rangs de tête – un processus que nous surveillerons de près.

Les derniers mois de 2021 ont également été riches en résultats de recherche, avec la découverte par ESET Research de : FontOnLake, une nouvelle famille de logiciels malveillants ciblant Linux ; un bootkit UEFI réel non documenté auparavant, nommé ESPecter ; FamousSparrow, un groupe de cyberespionnage ciblant les hôtels, les gouvernements et les entreprises privées du monde entier ; et bien d’autres. Au T3, nos chercheurs ont également publié une analyse complète des 17 cadres malveillants connus pour avoir été utilisés pour attaquer des réseaux air gap, et ont conclu leur série de plongées approfondies dans les trojans bancaires d’Amérique latine.

Le rapport ESET Threat Report T3 2021 fournit également des informations inédites sur les opérations des groupes APT. Cette fois, les chercheurs proposent des mises à jour sur l’activité du groupe de cyberespionnage OilRig ; les dernières informations sur l’exploitation sauvage de ProxyShell ; et les nouvelles campagnes de spearphishing du tristement célèbre groupe de cyberespionnage The Dukes.

Et, comme toujours, les chercheurs d’ESET ont saisi de multiples occasions de partager leur expertise lors de diverses conférences virtuelles au cours de cette période, apparaissant au Virus Bulletin 2021, CyberWarCon 2021, SecTor 2021, AVAR 2021 Virtual et d’autres. Pour les mois à venir, nous sommes heureux de vous inviter à une conférence ESET à SeQCure en avril 2022, et à la Conférence RSA de juin 2022 où nous présenterons la récente découverte d’ESPecter.

Bonne lecture, restez en sécurité – et en bonne santé !

Suivez ESET recherche sur Twitter pour des mises à jour régulières sur les tendances clés et les principales menaces.

Pour en savoir plus sur la façon dont les renseignements sur les menaces peuvent améliorer la posture de cybersécurité de votre organisation, visitez la page ESET Threat Intelligence. 

Rejoignez le nombre des lecteurs de WLS qui reçoivent une mise à jour dès la publication de tout nouvel article concernant la Crise en Ukraine.

Infolettre

Discussion