WatchGuard publie le rapport sur la sécurité Internet du troisième trimestre 2022

WatchGuard, un leader mondial de la cybersécurité convergée, a publié son rapport sur la sécurité Internet du troisième trimestre 2022 détaillant les principales tendances en matière de logiciels malveillants et les menaces de sécurité des réseaux et des terminaux analysées par les chercheurs du WatchGuard Threat Lab.

WatchGuard, un leader mondial de la cybersécurité convergée, a publié son rapport sur la sécurité Internet du troisième trimestre 2022 détaillant les principales tendances en matière de logiciels malveillants et les menaces de sécurité des réseaux et des terminaux analysées par les chercheurs du WatchGuard Threat Lab. Les données obtenues dans le rapport montrent que la principale menace logicielle est détectée uniquement via des connexions cryptées et que les attaques ICS sont toujours populaires.

WatchGuard, un leader mondial de la cybersécurité convergée, a annoncé son rapport trimestriel sur la sécurité Internet pour le troisième trimestre 2022, détaillant les principales tendances en matière de logiciels malveillants, les menaces de sécurité du réseau et des terminaux analysées par les chercheurs du WatchGuard Threat Lab. Les informations sur les données montrent que la principale menace de logiciels malveillants de ce trimestre n’est détectée que sur des connexions cryptées, les attaques ICS restent populaires, les logiciels malveillants LemonDuck vont au-delà de la prolifération des cryptomineurs, un moteur de triche Minecraft contient une pièce jointe malveillante, et bien plus encore. “Nous ne saurions trop insister sur l’importance d’activer l’inspection HTTPS, même si elle nécessite quelques ajustements et exceptions pour fonctionner correctement.” , manquez ces menaces “, a déclaré Corey Nachreiner, directeur de la sécurité chez WatchGuard Technologies. dans les déclarations.

Les recherches de WatchGuard analysent également la commercialisation des attaques de milieu de gamme, l’obfuscation JavaScript dans les kits d’exploitation et une famille de logiciels malveillants liés à Gothic Panda. Corey Nachreiner, directeur de la sécurité, notant que les mises à jour sont une méthode essentielle pour prévenir les attaques, a déclaré : « Les distinctions critiques pour les attaquants tels que les serveurs Exchange ou les systèmes de gestion SCADA méritent également une attention exceptionnelle ce trimestre, et à juste titre. Lorsqu’un correctif est disponible, il est important de le mettre à jour immédiatement car les attaquants finiront par exploiter toute organisation qui n’a pas encore appliqué le dernier correctif. fait une déclaration.

Les autres principales conclusions du rapport sur la sécurité Internet du 3e trimestre 2022 de WatchGuard sont les suivantes :

1. La grande majorité des logiciels malveillants proviennent de connexions cryptées. Bien qu’Agent.IIQ se soit classé troisième dans la liste des 10 principaux logiciels malveillants ce trimestre, il est arrivé en tête de la liste des logiciels malveillants cryptés au troisième trimestre. En regardant les détections dans ces deux listes, vous pouvez voir que toutes les détections Agent.IIQ proviennent de connexions chiffrées. Au troisième trimestre, 82 % des logiciels malveillants détectés par un périphérique Firebox provenaient de cette connexion chiffrée, ce qui laisse un pourcentage insuffisant de 18 % détectés sans chiffrement. Si le trafic chiffré n’est pas inspecté dans le Firebox, il est plus susceptible de maintenir ce taux moyen et de détourner une grande partie des logiciels malveillants. Pour cette raison, les organisations, les gouvernements et les PME doivent mettre en place une protection des terminaux pour éviter les cyberattaques.

2. Les systèmes ICS et SCADA continuent d’être des cibles tendance. Une attaque par injection SQL qui figurait dans la liste des 10 principales attaques réseau ce trimestre a touché plusieurs fournisseurs. L’une de ces sociétés est Advantech, dont le portail WebAccess est utilisé pour les systèmes SCADA dans diverses infrastructures critiques. Un autre exploit majeur, qui figurait parmi les cinq principales attaques de réseau au troisième trimestre, a affecté les versions 1.2.1 et antérieures du logiciel U.motion Builder de Schneider Electric. Cela suggère que les attaquants n’attendent pas silencieusement une opportunité, mais essaient activement de compromettre le système dans la mesure du possible.

3. Les vulnérabilités des serveurs Exchange continuent de poser un risque. La dernière CVE, CVE-2021-26855, parmi les nouvelles signatures de Threat Lab ce trimestre, est une vulnérabilité Microsoft Exchange Server Remote Code Execution (RCE) pour les serveurs sur site. Cette vulnérabilité RCE a un score CVE de 9,8 et est connue pour être exploitée par des attaquants. La date et la sévérité de cette CVE-2021-26855 devraient également vous dire quelque chose car il s’agit d’une des vulnérabilités utilisées par le groupe HAFNIUM. Bien que la plupart des serveurs Exchange concernés aient maintenant été corrigés, la plupart ne sont pas les mêmes pour tout le monde. Par conséquent, les risques demeurent.

4. Les acteurs de la menace ciblant les chercheurs de logiciels libres. Fugrafa télécharge des logiciels malveillants qui injectent du code malveillant. Ce trimestre, le WatchGuard Threat Lab a enquêté sur un échantillon trouvé dans un moteur de triche pour le jeu populaire Minecraft. Tout d’abord, le fichier partagé sur Discord prétend être le moteur de triche Minecraft Vape V4 Beta, mais ce n’est pas tout ce qu’il contient. Agent.FZUW partage certaines similitudes avec Variant.Fugrafa, mais au lieu d’être installé via un moteur de triche, le fichier lui-même prétend contenir un logiciel piraté. Threat Lab a découvert que cette instance particulière avait des liens vers Racoon Stealer, une campagne de piratage de crypto-monnaie utilisée pour voler les informations de compte des services d’échange de crypto-monnaie.

5. Le malware LemonDuck va au-delà de la distribution de cryptomineurs. Même avec une baisse du nombre total de domaines de logiciels malveillants bloqués ou suivis au troisième trimestre 2022, les attaques contre les utilisateurs sans méfiance sont toujours élevées. Trois nouveaux ajouts à la liste des principaux domaines de logiciels malveillants ; deux d’entre eux étaient des domaines de logiciels malveillants hérités de LemonDuck tandis que l’autre faisait partie du domaine classifié Emotet. Le troisième trimestre a vu plus de logiciels malveillants et de pages d’accueil de logiciels malveillants avec des domaines plus récents que d’habitude. Cette tendance va changer et être modifiée à mesure que le paysage de la crypto-monnaie est en ébullition alors que les attaquants recherchent d’autres endroits pour tromper les utilisateurs. La protection DNS active s’avère être un moyen de surveiller et d’empêcher les utilisateurs sans méfiance d’entrer dans votre organisation avec des logiciels malveillants ou d’autres problèmes graves.

6. Obfuscation JavaScript dans les kits d’exploitation. La signature 1132518, une vulnérabilité courante utilisée pour détecter les attaques d’obfuscation JavaScript contre les navigateurs, était le seul nouveau type de signature ajouté à la liste des principales signatures d’attaques réseau ce trimestre. JavaScript est un vecteur courant d’attaques contre les utilisateurs, et les pirates utilisent constamment des kits d’exploitation basés sur JavaScript. Les publicités malveillantes, les trous d’eau et les attaques de phishing ne sont que quelques-uns. À mesure que les améliorations de la défense du navigateur continuent d’évoluer, la capacité des attaquants à masquer le code JavaScript malveillant s’améliore également.

7. Anatomie des attaques ennemies dans le centre marchandisé. Bien que l’authentification multifacteur (MFA) soit la meilleure technologie disponible pour se protéger contre la plupart des attaques d’authentification, elle n’est pas en soi une solution critique pour tous les vecteurs d’attaque. Les cyber-attaquants l’ont clairement montré avec la montée et la commercialisation rapides des attaques de l’ennemi du milieu (AitM). De plus, l’enquête approfondie de WatchGuard Threat Lab sur le principal incident de sécurité du troisième trimestre, EvilProxy, montre comment les acteurs malveillants commencent à se tourner vers des techniques AitM plus sophistiquées. Comme le ransomware en tant que service qui est devenu populaire ces dernières années, la sortie en septembre 2022 d’une boîte à outils AitM appelée EvilProxy a considérablement réduit la barrière à l’entrée pour ce qui était auparavant une technique d’attaque sophistiquée. Du point de vue de la défense, contrer avec succès ce type de technique d’attaque AitM nécessite une combinaison d’outils techniques et de sensibilisation des utilisateurs.

8. Une famille de logiciels malveillants associée à Gothic Panda. Notre rapport du deuxième trimestre 2022 détaille comment Gothic Panda, un acteur de la menace parrainé par l’État et affilié au ministère chinois de la Sécurité d’État, a déployé l’une des détections de logiciels malveillants les plus efficaces du trimestre. Fait intéressant, la liste des logiciels malveillants chiffrés du troisième trimestre comprend une famille de logiciels malveillants appelée Taidoor, qui n’a pas été créée exclusivement par Gothic Panda et semble n’avoir été utilisée que par les cyber-acteurs du gouvernement chinois. Alors que ce malware cible principalement des cibles au Japon et à Taïwan, l’échantillon Generic.Taidoor analysé ce trimestre s’est avéré cibler principalement des organisations en France. Cela indique que certains Firebox de cette région ont peut-être détecté et bloqué des parties d’une cyberattaque parrainée par le gouvernement.

9. Nouveaux groupes de rançongiciels et de cybercriminalité. En outre, WatchGuard Threat Lab est heureux d’annoncer un nouvel effort concerté ce trimestre pour améliorer ses capacités de renseignement sur les menaces afin de surveiller les groupes de ransomwares et de cybercriminalité existants, et de fournir plus d’informations sur les ransomwares dans de futurs rapports. LockBit est en tête de liste avec plus de 200 ransomwares accessibles au public sur des sites Web sombres au troisième trimestre. C’est près de quatre fois plus que Basta, la deuxième pile de ransomwares la plus productive suivie par WatchGuard au troisième trimestre.

Les rapports de recherche trimestriels de WatchGuard sont basés sur des données désidentifiées de Firebox Feed provenant de WatchGuard Firebox actifs, qui publient des données pour soutenir directement les efforts de recherche du WatchGuard Threat Lab. WatchGuard a bloqué un total de plus de 17,3 millions de types de logiciels malveillants (211 par appareil) et plus de 2,3 millions de menaces réseau (28 par appareil) au troisième trimestre. Le rapport complet détaille les autres tendances des logiciels malveillants et des réseaux au troisième trimestre 2022, les stratégies de sécurité recommandées, les principaux conseils de défense pour les organisations de toutes tailles et de tous secteurs, et plus encore.

Source : (BYZHA) – Agence de presse Beyaz

Leave a Comment