68 % des organisations ont été confrontées au cryptominage malveillant au cours des neuf premiers mois de 2020,
selon une étude de Cisco

Dans un rapport publié sur son site, l’équipe de sécurité de Cisco a identifié un certain nombre de tendances majeures en matière de menaces cybenétiques sur les trois premiers trimestres de l’année 2020. L'étude menée par Cisco révèle que, si l'on considère les menaces auxquelles la base de ses clients qui utilise Cisco Umbrella, une technologie de sécurité Cisco basée sur le cloud, a été confrontée au cours des neuf premiers mois de 2020, on constate que 68 % de ces clients ont été confronté au cryptominage, 85 % au phishing et 63 % aux chevaux de Troie. En effet, depuis 2019, les chevaux de Troie et le phishing ont "permuté" leurs rangs dans le classement des menaces cybernétiques les plus prolifiques.

En 2019, les chevaux de Troie étaient la seconde plus grande menace avec 59 % d’impact, et le phishing arrivait en quatrième position avec 46 % d'impact. Cependant, au cours de l'année dernière, le phishing a augmenté de près de 40 %. L'une des raisons de ce changement serait liée à la pandémie de COVID-19, avec une augmentation considérable des sites de phishing malveillants exploitant les craintes du COVID. Le phishing est en hausse et constitue la deuxième menace la plus courante dans le paysage des cybermenaces d'aujourd'hui.

Principales cybermenaces trouvées sur le réseau Cisco Umbrella
Nom : cisco1.PNG
Affichages : 541
Taille : 13,2 Ko

Selon Cisco, il n'est pas surprenant que le cryptominage soit numéro 1 en 2020, après avoir également occupé la première place l'année dernière. Voici, ci-dessous, les principales raisons évoquées :

  • l'empreinte relativement faible du cryptominage est plus facile à dissimuler ;
  • la facilité relative avec laquelle les cybercriminels peuvent monétiser leurs activités ;
  • une perception erronée selon laquelle le cryptominage est moins dangereux que d'autres menaces.

Rappelons que le cryptominage est un code malveillant et potentiellement indésirable conçu pour pirater la puissance de traitement inactive d'un périphérique et l'utiliser pour exploiter la cryptomonnaie. L'activité de minage de cryptomonnaies est généralement dissimulée ou s'exécute en tâche de fond sans consentement de l'administrateur ou de l'utilisateur. Il existe deux types de cryptominage malveillants :

  1. Le mode binaire : il s'agit d'applications malveillantes téléchargées et installées sur l'appareil ciblé avec l'objectif de miner de la cryptomonnaie. Certaines solutions de sécurité identifient la plupart de ces applications comme étant des chevaux de troie ;
  2. Le mode navigateur : il s’agit d’un code JavaScript malveillant intégré dans une page Web (ou dans certains de ses composants ou objets), conçu pour miner la cryptomonnaie depuis les navigateurs des visiteurs du site. Cette méthode appelée cryptojacking est de plus en plus populaire auprès des cybercriminels depuis mi-2017. Certaines solutions de sécurité détectent la majorité de ces scripts de cryptojacking comme étant des applications potentiellement indésirables.

Tendances en matière de menaces cybernétiques

Tendance n°1 : les chevaux de Troie

Les chevaux de Troie n’ont jamais cessé d'être populaires. Connus comme une méthode d'attaque qui a fait ses preuves, les chevaux de Troie sont réutilisés aujourd’hui d'une nouvelle manière, dans le cadre d'un effort orchestré dans des attaques à plusieurs niveaux. À l'exemple d'Emotet, la deuxième menace de cette année en termes de volume de requêtes était au départ un cheval de Troie bancaire, mais avec son architecture modulaire sophistiquée, sa propagation de type ver et sa capacité à impacter un grand nombre de victimes, il s'est rapidement transformé en un vecteur de diffusion de logiciels malveillants encore plus efficace.

Nom : Cisco2.PNG
Affichages : 564
Taille : 37,9 Ko

Bien souvent, lorsqu'il s'agit de l'épine dorsale de leurs attaques, les cybercriminels s'en tiennent à ce qui fonctionne. L’exemple ci-dessus illustre une tendance selon laquelle les cybercriminels utilisent une infrastructure de logiciels malveillants éprouvée dans le cadre d'une chaîne de cyberattaques. À mesure que ces chaînes d'attaques deviennent plus complexes, le cybercriminel est en mesure d'utiliser des éléments éprouvés comme Emotet pour réduire le risque et le codage, tout en concentrant ses efforts sur les mouvements orchestrés qui dissimuleront sa véritable intention. Les raisons pour lesquelles les cybercriminels réutilisent les logiciels malveillants seraient :

  • leurs capacités de " couteau suisse " leur permettent de déployer des logiciels malveillants de suivi dans un modèle de " Loader-as-a-Service " qui cause des dommages supplémentaires en aval de la chaîne de cyberattaques ;
  • leur infrastructure de commandement et de contrôle hautement distribuée rend les stratégies d'attaque beaucoup plus difficiles à mettre en œuvre.

Tendance n°2 : les attaques orchestrées, multi-étapes et évasives

L'une des plus grandes tendances observées par Cisco au cours des trois premiers trimestres de l’année 2020 a été la montée en puissance des cyberattaques à multiples paliers. Ces attaques utilisent de nouveaux mécanismes de diffusion comme les macros et autres fonctionnalités d'applications légitimes pour échapper à la détection des antivirus, dissimuler les actions d'exfiltration de données (par exemple, la stéganographie), et coordonner des manœuvres à plusieurs niveaux grâce à une infrastructure de commandement et de contrôle (C2). Dans l'exemple de la chaîne d'attaque ci-dessous,

  1. Un spam diffuse un document d'apparence innocente qui utilise une macro ou PowerShell (c'est-à-dire une fonctionnalité intégrée à l'application utilisée pour ouvrir le fichier) menant à un chargeur ;
  2. Le chargeur désactive les contrôles de sécurité, établit la persistance, et télécharge le logiciel malveillant suivant ;
  3. Lorsque toutes les données ciblées ont été exfiltrées, le logiciel malveillant de suivi est lancé ;
  4. Les processus du logiciel malveillant de suivi prennent le contrôle du contrôleur de domaine via SMB Exploit, ce qui compromet le réseau ;
  5. Cela conduit à son tour à un rançongiciel, qui chiffre chaque composant affecté.

Nom : Cisco3.PNG
Affichages : 527
Taille : 25,2 Ko

Tendance n°3 : le cryptominage comme vecteur d'attaques cybernétiques

De toutes les tendances observées en 2020, le fait que le cryptominage reste la principale menace est la nouvelle la moins surprenante : il s'agit d'une tendance bien documentée par diverses sources. Cependant, comme le cryptominage est intrinsèquement plus actif que d'autres activités, c'est-à-dire qu'il produit plus de requêtes DNS pour se synchroniser correctement avec la blockchain et réussir à extraire de la cryptomonnaie, sa forte avance en termes de volume de requêtes par rapport à d'autres formes de cyberattaques n'est pas aussi impressionnante qu'il n'y paraît. Ce sont les volumes élevés et constants du trafic DNS dans la durée qui indiquent qu'une partie malveillante pourrait être impliquée.

Si pour certains analystes, le cryptominage n'est pas vraiment une attaque dont il faut s'inquiéter, Pour Cisco, cette façon de penser ne prend généralement en compte que le cryptominage basé sur le web. Celui-ci ne se produit qu’uniquement lorsqu'un utilisateur se trouve sur une page Web infectée. Cependant, il existe également le cryptominage logiciel, dans lequel le logiciel de minage installé sur une machine fonctionne à tout moment, une fois que la machine est allumée et connectée à Internet. Dans ce dernier cas, il y a un risque beaucoup plus élevé d'endommager le matériel. Ce qui peut être considéré comme un indicateur de compromission.

Dans une tendance plus récente, un logiciel de cryptominage fonctionnant dans un environnement informatique peut aussi n'être que la première étape d'une chaîne d’attaque sur l’infrastructure ciblée. Des tiers malveillants peuvent s'infiltrer dans l’environnement, puis mettre en place un minage pour gagner un revenu passif pendant qu'ils parcourent l’infrastructure pour exfiltrer des données ou réaliser d'autres activités malveillantes. Le minage de cryptomonnaie, notamment sous forme de cryptojacking, est associée à une activité extrêmement intense du processeur dont les effets secondaires sont facilement identifiables. Voici, ci-dessous, les points à surveiller pour identifier une attaque de cryptominage :

  • tout trafic réseau suspect ;
  • une consommation d'énergie inhabituelle ;
  • une réduction visible des performances et de la productivité de l'infrastructure.

Tendance n°4 : les cybercriminels profitent des contenus liés aux pandémies pour propager leurs menaces

Dans le souci d’avoir plus d’informations, d’obtenir un test gratuit, les dernières statistiques sur les cas en région ou mieux encore, des mises à jour sur le développement des vaccins, les besoins d’informations sur le sujet de la pandémie de COVID-19 ont été les sujets les plus sollicités ces derniers trimestres. Malheureusement, les cybercriminels ont profité de la soif d'informations sur le sujet pour mettre en place de nombreux sites permettant d'obtenir des informations d'identification et de diffuser des logiciels malveillants imitant souvent le contenu des sites web des autorités sanitaires et gouvernementales. Voici, ci-dessous, quelques recommandations proposées par Cisco pour se défendre contre les nouvelles menaces cybernétiques :

  • utilisez la segmentation du réseau pour réduire les risques ;
  • exploitez des renseignements précis et opportuns sur les menaces qui permettent d'intégrer ces données dans la surveillance de la sécurité ;
  • mettre en œuvre des outils de première ligne de défense évolutifs, tels que les plates-formes de sécurité basée sur le cloud et le Secure Access Service Edge (SASE) ;
  • s’assurez que les politiques de sécurité de l'information mises en place sont conformes à un système de gestion de la sécurité de l'information (SGSI) reconnu au niveau international tel que ISO 27001 ou NIST (National Institute of Standards and Technology.

Pour aider les entreprises à protéger leurs infrastructures, Cisco Umbrella intègre une passerelle Web sécurisée, un pare-feu et une fonctionnalité de courtier de sécurité d'accès au cloud, ainsi qu'une intégration avec Cisco SD-WAN, le tout fourni par un seul service de sécurité en cloud. Cette technologie de sécurité basée sur le cloud offre une sécurité flexible. Elle combine plusieurs fonctions de sécurité en une seule solution, afin que les entreprises puissent étendre la protection aux appareils, aux utilisateurs distants et aux sites distribués, où qu'ils soient.

Source : Cisco

Et vous ?

Avez-vous connaissance du cryptominage malveillant ? Quelle est votre solution pour vous protéger de ce type d'attaque ?

Selon vous, pourquoi le cryptominage reste la forme d'attaque la plus répandue ?

Voir aussi :

61 % de l'énergie pour le minage du bitcoin proviendraient des combustibles fossiles, l'extraction du bitcoin ralentirait la transition vers des alternatives vertes

Le bitcoin fait partie d'une révolution monétaire amorcée par la transformation numérique qui a été accélérée par Covid-19, d'après l'avis de Nial Ferguson, chroniqueur de Bloomberg

Le bitcoin pourrait soit devenir la devise préférée pour le commerce international, soit faire face à une "implosion spéculative", selon Citi

Le bitcoin pourrait consommer autant d'énergie électrique que l'ensemble des centres de données dans le monde, avec une empreinte carbone équivalente à celle de Londre