L'analyse de 92 milliards d'e-mails rejetés révèle une gamme de techniques d'attaque simples et complexes pour le dernier trimestre 2019.
Conférence RSA 2020 – San Francisco – Emotet est de retour en force, entraînant une hausse de 145 % de l'activité des menaces au cours du quatrième trimestre 2019, rapportent les chercheurs dans une nouvelle analyse de 202 milliards d'e-mails du trimestre dernier. Parmi les messages analysés, 92 milliards ont été rejetés.
Le « Mimecast Threat Intelligence Report : RSA Conference Edition » couvre les données d'octobre à décembre 2019 et révèle un mélange d'attaques allant des menaces à faible effort et à faible coût aux campagnes avancées et ciblées. Les attaquants tentent de surprendre les entreprises victimes ; en témoigne la résurgence du malware Emotet, désormais de plus en plus agressif.
Ce n’est pas le premier indicateur qu’Emotet est montée en puissance: Plus tôt cette année, les chercheurs de Cisco Talos détecté certaines activités contre les domaines militaires américains, ainsi que contre les domaines appartenant aux gouvernements étatiques et fédéraux. Les opérateurs du malware auraient compromis les comptes appartenant à au moins un employé du gouvernement fédéral et envoyé du spam malveillant à la liste de contacts de la victime. Au même moment, les analystes de Cofense ont découvert une campagne Emotet ciblant les Nations Unies.
Aujourd'hui, sa résurgence est au centre des conclusions de Mimecast, qui font état de 61 campagnes d'attaques importantes au cours du dernier trimestre 2019, soit une augmentation de 145 % par rapport à l'année dernière. Selon les chercheurs, Emotet a joué un rôle clé dans cette augmentation, car il était un composant de presque toutes les attaques identifiées. Le modèle de malware-as-a-service par abonnement le rend accessible à un public plus large.
Les chercheurs ont remarqué que les opérateurs d'Emotet abandonnaient les logiciels malveillants sans fichier lors de leur réapparition pour se tourner plus tard vers des attaques basées sur les pièces jointes. « Ils essaient de perfectionner leurs compétences tout au long du processus », explique Josh Douglas, vice-président du renseignement sur les menaces chez Mimecast. "Ils changent la dynamique de leur ciblage."
La plupart des campagnes importantes utilisant Emotet ont inclus des détections de ransomwares. Selon les chercheurs, cette découverte indique une forte probabilité que les attaquants se concentrent sur la diffusion de ransomwares, en particulier compte tenu des attaques utilisant des ransomwares au cours des trimestres précédents.
La compression de fichiers était le format d'attaque préféré au cours du dernier trimestre 2019 ; cependant, les chercheurs ont constaté une augmentation de l’activité d’Emotet via les formats de fichiers .doc et .docx. Les fichiers compressés permettent une charge utile plus complexe et potentiellement multimalware, expliquent-ils, mais ils fournissent également un moyen simple de masquer le nom de fichier réel de tous les éléments du conteneur.
L'activité d'Emotet a coïncidé avec une augmentation du spam, l'une des quatre principales catégories de menaces analysées dans ce rapport, aux côtés des attaques par usurpation d'identité, des attaques opportunistes et des attaques ciblées. Le spam est un moyen important et massif de distribution de logiciels malveillants ; il était particulièrement populaire dans les attaques contre les secteurs juridique, logiciel/logiciel en tant que service et bancaire. Les chercheurs anticipent il restera un vecteur populaire étant donné la probabilité que quelqu'un tombe dans le piège.
Les attaques par usurpation d’identité restent également efficaces car les attaquants usurpent des domaines, des sous-domaines, des pages de destination, des sites Web, des applications mobiles et des profils de réseaux sociaux pour manipuler leurs victimes afin qu’elles partagent des informations d’identification et des données personnelles. La gestion/le conseil, le secteur juridique et le secteur bancaire sont les secteurs les plus fréquemment touchés par les attaques par usurpation d'identité, pour lesquels les détections ont diminué de 5 % au cours du dernier trimestre. Les attaquants utilisent des techniques plus nuancées telles que le phishing par messagerie vocale pour réussir.
Les chercheurs ont également remarqué une différence dans les attaques les plus importantes du dernier trimestre. Les menaces ciblaient un plus grand nombre d’entreprises dans différents secteurs et sur des périodes plus courtes que celles observées au cours des trimestres précédents. Les campagnes spécifiques ne s'étendent que sur des périodes d'un ou deux jours, contrairement aux campagnes sur plusieurs jours détectées dans le passé. Ces attaques témoignent d’une augmentation du recours à des attaques de courte durée, à grand volume, ciblées et hybrides contre les victimes dans tous les secteurs.
Cela dit, l’écrasante majorité des attaques sont moins complexes et plus volumineuses. Il s’agit « presque certainement » d’un indicateur d’un accès plus large aux kits en ligne que les attaquants moins qualifiés peuvent utiliser pour déployer des campagnes d’attaque, expliquent les chercheurs dans leur rapport.
Contenu connexe:
Kelly Sheridan est la rédactrice en chef de Dark Reading, où elle se concentre sur l'actualité et l'analyse de la cybersécurité. Elle est journaliste spécialisée dans les technologies d’affaires et a précédemment travaillé pour InformationWeek, où elle couvrait Microsoft, et Insurance & Technology, où elle couvrait les finances… Voir la biographie complète
Plus d'informations
