Rapport ESET T2 2022 : baisse du volume d’attaques contre RDP et retour au business pour les rançongiciels
Après une forte baisse observée pendant le T1 2022, le nombre total de tentatives d’attaques contre RDP a encore diminué de 89 %. Les raisons probables de cette baisse sont la réouverture des locaux des entreprises après l’épidémie de COVID, l’amélioration de la sécurité et la guerre Russie-Ukraine.
- Le nombre de ransomwares utilisés à des fins politiques a diminué. Les opérateurs ont délaissé la Russie pour se concentrer sur leurs cibles habituelles que sont les États-Unis, la Chine et Israël.
- Emotet est toujours actif, avec des détections principalement au Japon et en Italie. Selon la télémétrie d’ESET, ses opérateurs ont pris des congés en août.
- Les URL d’hameçonnage sur le thème du transport détectées par ESET ont été multipliées par six. Les marques les plus souvent usurpées sont USPS et DHL.
- Le « skimmer » web nommé Magecart comptait pour les trois quarts de toutes les détections de malwares bancaires, laissant loin derrière lui le reste des souches de malwares dans cette catégorie.
- Les menaces liées aux cryptomonnaies ont diminué en même temps que le prix du bitcoin. Toutefois, la catégorie des outils voleurs de cryptomonnaies, qui était auparavant en déclin, a connu une augmentation de près de 50 %.
ESET a publié aujourd’hui son rapport sur les menaces de T2 2022, qui résume les principales statistiques issues des systèmes de détection d’ESET, et présente des exemples notables d’études de cybersécurité d’ESET. La dernière édition du rapport d’ESET sur les menaces (couvrant la période de mai à août 2022) précise les évolutions des volumes de ransomwares aux motivations idéologiques, de l’activité d’Emotet, des leurres d’hameçonnage les plus utilisés, de la façon dont la chute des taux de change des cryptomonnaies a affecté les menaces en ligne, et de la poursuite de la forte baisse des attaques contre le protocole d’accès à distance RDP. Les analystes d’ESET estiment que ces attaques ont continué de s’essouffler en raison de la guerre entre la Russie et l’Ukraine, de la réouverture des entreprises après l’épidémie de COVID et de l’amélioration générale de la sécurité des environnements d’entreprise.
Même si les chiffres sont en baisse, des adresses IP russes sont toujours responsables de la plus grande partie des attaques contre RDP. « Au T1 2022, la Russie a également été le pays le plus ciblé par les ransomwares, certaines attaques ayant une motivation politique ou idéologique en association avec la guerre. Le rapport ESET Threat Report T2 2022 montre cependant que cette vague de hacktivisme a décliné au T2, et que les opérateurs de ransomwares se sont tournés vers les États-Unis, la Chine et Israël » explique Roman Kováč, Chief Research Officer chez ESET.
Selon la télémétrie d’ESET, le mois d’août a été un mois de vacances pour les opérateurs d’Emotet, la souche de téléchargeurs la plus influente. Le gang à l’origine de ce projet s’est également adapté à la décision de Microsoft de désactiver les macros VBA dans les documents provenant d’Internet et s’est concentré sur des campagnes utilisant des fichiers Microsoft Office et des fichiers LNK.
Le rapport décrit par ailleurs les menaces qui touchent principalement les utilisateurs à leur domicile. Les tentatives d’hameçonnage sur le thème du transport relevées par ESET ont été multipliées par six, présentant la plupart du temps aux victimes de fausses demandes de vérification des adresses de livraison de la part de DHL et d’USPS. « En ce qui concerne les menaces qui touchent directement les monnaies virtuelles et physiques, un skimmer web connu sous le nom de Magecart reste la principale menace s’attaquant aux données des cartes bancaires des acheteurs en ligne. Nous avons également constaté une multiplication par deux des leurres d’hameçonnage sur le thème des cryptomonnaies et une augmentation du nombre d’outils voleurs de cryptomonnaies » explique M. Kováč.
Le rapport d’ESET sur les menaces de T2 2022 examine les principales découvertes et les accomplissements des chercheurs d’ESET. Ils ont documenté une porte dérobée sur macOS inconnue jusqu’alors, qu’ils ont ensuite attribuée à ScarCruft. Ils ont découvert une version actualisée du chargeur de malwares ArguePatch du groupe de pirates Sandworm, et des malwares Lazarus se cachant dans des applications. Ils ont enfin analysé une instance de la campagne Operation In(ter)ception de Lazarus ciblant des appareils macOS à l’aide de tentatives d’hameçonnage sur les cryptomonnaies. Les chercheurs d’ESET ont également découvert des vulnérabilités de dépassement de tampon dans le micrologiciel UEFI de Lenovo et une nouvelle campagne utilisant une fausse mise à jour de Salesforce comme appât.
Vous pouvez consulter le Rapport ESET sur les menaces au T2 2022
La Rédaction d'Africa Cybersecurity Mag