Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

 Rétrospective de l’année

 Statistiques globales de l’année 2016

Introduction

Si des membres du public étaient invités à résumer l’année 2016 en un seul mot, il se peut qu’une majorité d’entre eux, principalement en Europe et aux Etats-Unis, choisirait le mot « imprévisible ». A première vue, il pourrait en aller de même au niveau des cybermenaces actives en 2016 : les immenses réseaux de zombies de périphériques connectés qui ont paralysé de grands segments d’Internet en octobre ; le piratage continu de sites Web de haut vol et les divulgations de données ; les cambriolages réalisés à l’aide du réseau SWIFT pour un butin de plusieurs milliards de dollars, etc. Toutefois, bon nombre de ces incidents avaient été prédits, parfois depuis plusieurs années, par des intervenants du secteur de la sécurité de l’information, et la meilleure manière de les résumer serait probablement en choisissant le mot « inévitable ».

S’agissant des cybermenaces, 2016 aura été l’année où le « tôt ou tard » aura été remplacé par le « maintenant » #KLReport

Tweet

Au cours de l’année 2016, le malware a poursuivi sa conquête du monde. Tous les indicateurs comme les familles de malware, les modifications, les attaques et les victimes sont à la hausse. Ceci étant dit, des rayons d’espoir parviennent à percer laвот grisaille, notamment la nouvelle initiative de coopération No More Ransom. Pour Kaspersky Lab, l’Histoire de l’année aura été la révolution du ransomware. Son évolution et son impact sont présentés en détails ici.

Les campagnes de cyberespionnage ciblées, le vol d’argent, l’hacktivisme et les réseaux vulnérables de périphériques connectés sont autant d’événements survenus sur la scène de la cybersécurité qui ont contribué à la tension et aux remous ressentis cette année.

La présente synthèse offre un survol des principales menaces et des statistiques les plus frappantes pour 2016. Tous les détails figurent dans la Rétrospective et dans les Statistiques.

Elle s’interroge également sur les implications de ces menaces pour les organisations qui tentent de déceler une fuite ou une cyberattaque. A quel point les entreprises sont-elles prêtes à agir de manière proactive pour empêcher ou atténuer une cybermenace ? Que pouvons-nous faire pour leur venir en aide ?

Six choses que nous avons apprises cette année et que nous ignorions

1. L’économie clandestine est plus sophistiquée et plus imposante que jamais : xDedic, le marché de l’ombre

Nous avons découvert au mois de mai une plateforme active d’échanges cybercriminels baptisée xDedic. Elle proposait et facilitait l’achat et la vente de données d’identification de serveurs piratées. Près de 70 000 serveurs compromis étaient proposés, mais des éléments d’enquête plus récents laissent penser qu’il y aurait pu y avoir 176 000 serveurs dans les organisations les plus diverses à travers le monde entier. Dans la majorité des cas, les propriétaires légitimes ne se doutaient absolument pas qu’un de leurs serveurs, tournant dans une pièce ou dans un centre de données, avait été piraté et était passé d’un criminel à l’autre.

Certes, xDedic n’est pas le premier marché clandestin mais il témoigne de l’évolution de l’écosystème économique du marché noir vers plus de complexité et de sophistication.

2. L’attaque financière la plus importante n’a pas impliqué la bourse, mais bien les transferts via SWIFT

Une des attaques les plus graves enregistrées en 2016 a exploité le réseau interbancaire SWIFT (Society for Worldwide Interbank Financial Telecommunication). En février 2016, des pirates ont exploité les données d’accès au réseau SWIFT d’employés de la banque centrale du Bangladesh et ont envoyé à la branche new-yorkaise de la Réserve fédérale des Etats-Unis des requêtes frauduleuses de transfert de plusieurs millions de dollars vers plusieurs banques asiatiques. Les pirates ont ainsi réussi à transférer 81 millions de dollars américains sur un compte de la Rizal Commercial Banking Corporation aux Philippines et 20 millions supplémentaires sur un compte de la Pan Asia Banking. L’hémorragie a été arrêtée lorsque la banque a remarqué une faute de frappe dans une des demandes de transfert. L’article est accessible ici. Au cours des mois qui ont suivi, d’autres attaques organisées contre des banques à l’aide des informations d’authentification SWIFT ont été dévoilées.

Après le vol de 100 millions de dollars, de nombreuses banques ont été obligées d’améliorer leurs procédures d’authentification et de mise à jour du logiciel SWIFT. #KLReport

Tweet

3. La vulnérabilité des infrastructures critiques est inquiétante : campagne BlackEnergy

BlackEnergy a droit à une place spéciale dans cette liste même si l’attaque en elle-même a eu lieu à la fin 2015. Toutefois, ce n’est qu’au début de l’année 2016 que l’ampleur des résultats de la cyberattaque BlackEnergy menée contre le secteur énergétique ukrainien a pu être appréciée. Cette attaque fut unique au niveau des dégâts infligés. Outre la mise hors service du réseau de distribution d’électricité en Ukraine occidentale, les pirates avaient détruit les données sur les systèmes ciblés et organisé une attaque DDoS contre les services d’assistance à la clientèle des sociétés frappées par l’attaque. Kaspersky Lab a soutenu les travaux d’enquête sur BlackEnergy depuis 2010, notamment en offrant une analyse de l’outil employé pour s’introduire dans les systèmes ciblés. Notre rapport pour 2016 est disponible ici.

La cyberattaque BlackEnergy menée contre le secteur énergétique ukrainien a mis en évidence la vulnérabilité des infrastructures critiques à travers le monde entier #KLReport

Tweet

Afin d’aider les organisations qui utilisent des systèmes de supervision industrielle à identifier les points faibles potentiels, les experts de Kaspersky Lab ont enquêté sur les menaces qui planent sur ces systèmes en particulier. Ils ont publié leurs résultats dans un rapport consacré à l’état des menaces contre les systèmes de supervision industrielle.

4. Une attaque ciblée n’est pas obligée de suivre un modèle : l’APT ProjectSauron

Nous avons découvert l’APT ProjectSauron en 2016. Il s’agit d’un groupe qui bénéficie du soutien d’un État et qui s’est spécialisé depuis juin 2011 dans le vol de données confidentielles d’organisations établies en Russie, en Iran et au Rwanda ainsi que probablement dans d’autres pays. Notre analyse a permis d’identifier des caractéristiques remarquables : par exemple, le groupe avait adopté les techniques révolutionnaires d’autres grandes APT et avait amélioré leurs tactiques pour éviter la détection. Toutefois, le point fondamental est que les outils sont personnalisés pour chaque cible donnée, ce qui leur ôte toute valeur en tant qu’indicateurs de compromission pour toute autre victime. Nous reprenons ici les méthodes qui peuvent être appliquées pour faire face à une menace aussi complexe.

La plateforme d’espionnage de ProjectSauron, qui ne suit aucun modèle, ébranle certains des principes fondamentaux appliqués à la détection des menaces #KLReport

Tweet

5. La divulgation en ligne d’importants volumes de données peut constituer une tactique d’influence : ShadowBrokers et autres divulgations de données

L’année 2016 aura été marquée par quelques divulgations de données en ligne qui ont fait parler d’elles. La plus connue est certainement celle orchestrée par un groupe qui se prénomme ShadowBrokers. Ils ont annoncé en ligne le 13 août qu’ils possédaient des fichiers appartenant à Equation Group, un des plus grands prédateurs APT. Nos recherches suggèrent qu’il existe des ressemblances entre les données divulguées par ShadowBrokers et celles utilisées par Equation Group. La divulgation originale contenait un certain nombre de vulnérabilités 0jour qui n’avaient pas été signalées et d’autres divulgations ont été organisées au cours des derniers mois. L’impact à long terme de toute cette activité est inconnu. Cependant, une chose est sûre : ce genre de divulgation peut exercer une grande influence sur l’opinion et les débats publics et il y a de quoi s’inquiéter.

Des vols de données auront également touché beautifulpeople.com, Tumblr, le forum de pirates nulled.io, Kiddicare, VK.com, Sage, le forum officiel de DotA 2, Yahoo, Brazzers, Weebly et Tesco Bank en 2016. Ces vols ont été organisés pour les motifs les plus divers, depuis les gains financiers jusqu’au chantage sur la réputation personnelle.

Une attaque contre LinkedIn rendue publique en 2016 a dévoilé plus d’un million d’occurrences du mot de passe « 123456 ». #KLReport

Tweet

6. Une caméra peut appartenir à une cyberarmée internationale : le déficit de sécurité de l’Internet des Objets

Les appareils et les systèmes connectés, depuis les maisons et les véhicules jusqu’aux villes intelligentes en passant par les hôpitaux, sont là pour nous simplifier la vie et nous protéger. Toutefois, bon nombre de ces systèmes ont été conçus et fabriqués sans trop penser à la sécurité et ils ont été vendus à des personnes qui ont sous-estimé la nécessité de modifier les paramètres de sécurité par défaut.

Le risque de tout connecter sans garde-fous adéquats – après 2016, tout est dit, n’est-ce pas ? #KLReport

Tweet

Le monde entier sait désormais que ces millions d’appareils non sécurisés connectés constituent une puissante tentation pour les cybercriminels. Au mois d’octobre, des attaquants ont utilisé un réseau de zombies de plus d’un demi-million d’appareils domestiques connectés à Internet pour lancer une attaque DDoS contre Dyn, un prestataire de services DNS qui compte Twitter, Amazon, PayPal, Netflix et d’autres sociétés parmi ses clients. Le monde était sous le choc et pourtant, cela faisait longtemps que les avertissements relatifs à l’instabilité de la sécurité de l’IdO circulaient.

Ainsi, nous avions démontré au mois de février à quel point il serait facile de trouver un hôpital, d’accéder à son réseau interne et de prendre les commandes d’un dispositif d’IRM afin d’obtenir les données personnelles des patients, leur protocole de traitement et d’accéder au système de fichiers du dispositif d’IRM. Et au cours du mois d’avril, nous avons publié les résultats de nos travaux sur la vulnérabilité des capteurs de trafic en ville et des bornes de vente de billets intelligentes.

Les fabricants doivent coopérer avec le secteur de la sécurité pour mettre en œuvre le principe de « sécurité dès la conception » #KLReport

Tweet

Autres menaces importantes

Campagnes APT originales

Au moins 33 pays ont été ciblés par des APT évoquées par Kaspersky Lab #KLReport

Tweet

Nous avons présenté en février l’Opération Blockbuster, une enquête conjointe menées par plusieurs sociétés de sécurité de l’information sur les activités de la bande Lazarus, une entité très malveillante responsable de la destruction de données.

Le groupe Lazarus serait à l’origine de l’attaque menée contre Sony Pictures Entertainement en 2014 #KLReport

Tweet

Adwind est un outil d’accès à distance (RAT) multiplateforme et multifonctionnel distribué ouvertement en tant que service payant. Le client paie un forfait pour pouvoir utiliser le malware. Il détient actuellement le titre douteux de plus grande plateforme de malware en circulation. Le système comptait près de 1 800 clients à la fin de l’année 2015.

1 800 clients utilisaient le malware à louer d’Adwind #KLReport

Tweet

Les campagnes APT à travers le monde ont continué à exploiter au maximum le fait que tout le monde n’installe pas les mises à jour de logiciel dès qu’elles sont disponibles. Ainsi, nous indiquions en mai qu’au moins six groupes dans la région Asie-Pacifique et en Extrême-Orient, dont les groupes Danti et SVCMONDR découverts récemment, exploitaient la vulnérabilité CVE-2015-2545. Cette faille permet à un attaquant d’exécuter un code arbitraire à l’aide d’une image EPS spécialement conçue pour cette fin. Un correctif pour cette vulnérabilité avait pourtant été diffusé en 2015.

Plus de 6 groupes APT ont exploité une même vulnérabilité, corrigée en 2015. #KLReport

Tweet

Nouvelles vulnérabilités 0jour

Les vulnérabilités 0jour sont toujours très recherchées par les auteurs d’attaques ciblées.

Nous avons évoqué en juin la campagne de cyberespionnage portant le nom de code Opération Daybreak organisée par le groupe ScarCruft. Celle-ci reposait sur un code d’exploitation pour Adobe Flash Player inconnu jusque-là (CVE-2016-1010). Et puis en septembre, nous avons découvert la vulnérabilité 0jour sous Windows CVE-2016-3393 utilisée par l’auteur de menace FruityArmor dans le cadre d’attaques ciblées.

Globalement, les nouvelles technologies de Kaspersky Lab conçues pour identifier et neutraliser ce genre de vulnérabilité nous ont permis de déceler quatre vulnérabilités 0jour en 2016. S’agissant des deux autres, il y avait la vulnérabilité Adobe Flash CVE-2016-4171 et le code d’exploitation d’élévation de privilèges sous Windows CVE-2016-0165 .

La quête des gains financiers

Amener les membres du public à divulguer leurs informations personnelles ou à installer un malware qui s’emparera des données d’accès au système de banque électronique demeure une option efficace prisée par les cyber-voleurs en 2016 Les solutions de Kaspersky Lab ont bloqué des tentatives d’exécution de malwares de ce genre sur 2 871 965 appareils. La part d’attaques contre des appareils Android a plus que quadruplé.

Un tiers des attaques de malwares bancaires cible désormais des appareils Android #KLReport

Tweet

Certains groupes APT ont également manifesté un intérêt plus marqué pour les gains financiers que pour le cyberespionnage. Ainsi, le groupe à l’origine de Metel a infiltré le réseau interne de banques afin d’automatiser l’annulation de transactions réalisées sur des distributeurs automatiques de billets (DAB) : les membres du gang pouvaient ainsi utiliser des cartes de débit pour voler de l’argent à plusieurs reprises via les DAB sans jamais toucher au solde disponible. Ce groupe est toujours actif à la fin 2016.

Metel organisait des attaques ciblées contre des banques, puis envoyait des équipes pendant la nuit pour retirer l’argent dans les DAB #KLReport

Tweet

En juin, Kaspersky Lab a coopéré à l’enquête menée par la police russe sur la bande Lurk. Cette coopération a débouché sur l’arrestation de 50 individus soupçonnés d’être impliqués dans la mise en place de réseaux d’ordinateurs infectés et le vol de plus de 45 millions de dollars américains dans des banques locales, d’autres institutions financière et autres organisations commerciales.

Dans le cadre de l’enquête, les chercheurs ont remarqué que l’ordinateur des victimes de Lurk était équipé du logiciel d’administration à distance Ammyy Admin. Cela a permis de découvrir que le site officiel d’Ammyy Admin avait probablement été compromis et que le trojan malveillant était téléchargé sur l’ordinateur des victimes en même temps que le logiciel légitime Ammyy Admin.

Le démantèlement de la bande Lurk fut le plus grand coup de filet de pirates réalisé en Russie #KLReport

Tweet

La vulnérabilité des vulnérabilités : l’être humain

L’année 2016 aura également démontré que les campagnes d’attaques ciblées ne devaient pas forcément être à la pointe du progrès pour être efficaces. L’être humain, depuis l’employé qui ne se doute de rien jusqu’au complice interne malveillant, demeure souvent la voie d’accès la plus facile pour les attaquants et leurs outils.

Au mois de juillet, nous vous parlions d’un groupe baptisé Dropping Elephant (connu également sous les noms de « Chinastrats » ou « Patchwork »). Grâce à une ingénierie sociale de pointe associée à un ancien code d’exploitation et à un malware PowerShell, ce groupe a réussi à voler des données sensibles auprès de victimes qui appartenaient à des organisations diplomatiques et économiques importantes impliquées dans les relations étrangères chinoises.

Dropping Elephant et Operation Ghoul ont démontré la puissance redoutable d’une ingénierie sociale rondement menée #KLReport

Tweet

Et Operation Ghoul envoyait aux cadres intermédiaires et supérieurs de différentes entreprises des messages de harponnage qui semblaient provenir d’une banque aux Emirats arabes unis Le message prétendait offrir des conseils de paiement de la banque et possédait en pièce jointe un document semblable à un document SWIFT, mais qui contenait un malware.

Publicité mobile

Les principales menaces mobiles en 2016 sont venues du côté des trojans publicitaires capables d’obtenir les privilèges de superutilisateur sur un appareil Android infecté. Grâce à ce niveau d’accès, ils peuvent pratiquement faire tout ce qu’ils veulent. Ils peuvent, entre autres, se dissimuler dans le dossier système, et rendre ainsi leur suppression pratiquement impossible, ou installer et lancer discrètement différentes apps qui se caractérisent par un affichage agressif de publicités. Ils peuvent même acheter de nouvelles apps sur Google Play.

En 2016, sur les 30 trojans les plus répandus, 22 étaient des trojans publicitaires, soit deux fois plus qu’en 2015. #KLReport

Tweet

Bon nombre de ces trojans étaient diffusés via Google Play Store : certains ont été installés plus de 100 000 fois et il y a même eu le cas d’une app servant de guide pour Pokemon GO infectée qui a été installée plus de 500 000 fois.

Un malware diffusé via Google Play Store a été téléchargé des centaines de milliers de fois #KLReport

Tweet

Un trojan sous Android était installé et même mis à jour en tant qu’app saine (sans malware) avant de diffuser une mise à jour infectée chez les utilisateurs. D’autres, comme Svpeng, se sont propagés via la régie publicitaire Google AdSense.

Et ce n’est pas tout : certains trojans ont trouvé les moyens de déjouer les fonctions de sécurité d’Android, et plus particulièrement les superpositions d’écran et la nécessité de solliciter une autorisation avant d’ouvrir une nouvelle app, et amènent la victime à transférer au trojan les privilèges d’accès qu’il recherchait.

Le ransomware mobile a également évolué et exploite les superpositions d’écran. Il est plus intéressant de bloquer l’utilisation d’un appareil que de chiffrer ses données car il existe bien souvent une copie de sauvegarde quelque part.

Pour revenir en détails sur ces histoires, nous vous invitons à télécharger ici la rétrospective complète de 2016.

Si vous souhaitez obtenir les statistiques détaillées de 2016, inscrivez-vous pour télécharger le rapport consacré aux statistiques ici.

Impact sur les entreprises. L’état des lieux des menaces en 2016 souligne la nécessité croissante du renseignement sur les menaces.

La version 2016 du Kaspersky Security Bulletin met en évidence l’augmentation des menaces complexes et nuisibles contre la cybersécurité et l’impact de bon nombre d’entre elles sur les entreprises. Cet impact ressort également de nos rapports sur la sécurité de l’information dans les entreprises (1, 2) qui résument une étude que nous avons réalisée en 2016 auprès de 4 000 entreprises à travers le monde.

Parmi les questions posées aux entreprises, une portait sur le facteur le plus critique dans la détection des incidents et la réaction face à ceux-ci : le temps.

La vitesse de détection des incidents est critique

Des résultats de ces travaux qui n’avaient jamais été publiés à ce jour montrent que le temps généralement requis pour détecter un événement lié à la sécurité de l’information se mesure en jours : 28,7 % des entreprises interrogées ont admis qu’il leur fallait en moyenne plusieurs jours pour détecter une violation de la sécurité.

Temps requis pour détecter un événement lié à la sécurité de l’information

Seuls 8,2 % des entreprises parvenaient à détecter les attaques presque sur-le-champ tandis que pour 19,1 % des entreprises, il fallait compter plusieurs semaines pour détecter un incident grave en matière de sécurité. Et quand on leur demandait comment elles avaient finalement détecté cette violation, les réponses étaient révélatrices.

Aller au-delà de la prévention

Période moyenne requise pour détecter un événement lié à la sécurité, pour l’ensemble des événements de sécurité
au cours des 12 derniers mois

Ce tableau combine la durée moyenne écoulée avant la détection d’un événement lié à la sécurité et les réponses que nous avons obtenues lorsque nous avons demandé aux entreprises comment elles avaient découvert ces incidents. Il semblerait que les entreprises qui peinent à détecter les incidents rapidement finissent par les trouver via une ou plusieurs des méthodes suivantes : audit interne ou externe sur la sécurité ou, malheureusement, suite à une notification par un tiers.

Il s’avère que pour ces entreprises, un audit sur la sécurité de n’importe quel type est la meilleure mesure « en dernier ressort » pour finalement identifier le problème. Mais les choses doivent-elles vraiment se passer ainsi ?

C’est là que notre rapport met le doigt sur un écart évident entre la théorie et la pratique. Bien que 65 % des entreprises reconnaissent qu’un audit sur la sécurité est une mesure de sécurité efficace, moins de la moitié des entreprises interrogées (48 %) a réalisé un audit de ce genre au cours des 12 derniers mois. De plus, 52 % des entreprises fonctionnent en supposant que la sécurité de leur structure informatique sera compromise à un moment ou à un autre, alors que 48 % ne sont pas prêt accepter cette éventualité. En bref : pour de nombreuses entreprises, il est difficile d’adhérer à une stratégie de détection et de réaction structurée.

Le coût du retard

On peut raisonnablement supposer que plus l’entreprise tardera à identifier une violation de sa sécurité, plus les coûts d’atténuation et plus les dommages potentiels seront élevés. Les résultats dévoilent une vérité choquante : si l’attaque n’est pas détectée en l’espace de quelques jours, les coûts peuvent doubler, dans le meilleur des cas.

Coût de la récupération par rapport au temps requis pour détecter une violation de la sécurité pour les entreprises

Ainsi, pour les entreprises, une attaque découverte uniquement après une semaine ou plus coûte 2,77 fois plus cher qu’une attaque détectée presque sur-le-champ. Les petites et moyennes entreprises paient jusqu’à 3,8 fois plus pour récupérer d’un incident détecté trop tard.

Il est évident qu’une détection améliorée réduit sensiblement les coûts pour les entreprises. Mais la mise en œuvre de stratégies de détection des incidents et de réaction est bien différente de la mise en œuvre d’une prévention adéquate. Celle-ci fournit un choix de solutions pour entreprises qui ont fait leur preuve. La stratégie quant à elle requiert du renseignement sur la sécurité, une connaissance approfondie des menaces et un savoir-faire en matière de sécurité capable d’appliquer cette expertise aux particularités de l’entreprise. D’après notre rapport spécial consacré aux risques sur la sécurité de l’information en entreprise, les entreprises qui ont du mal à attirer des experts en sécurité finissent par payer le double pour la récupération après un incident.

Solution de Kaspersky Lab : convertir le renseignement en protection

Kaspersky Lab a considérablement enrichi son portefeuille de solutions en 2016 en introduisant sur le marché des produits tels que Kaspersky Anti-Targeted Attack Platform ou des services de sécurité tels que Penetration Testing et Threat Data Feeds. Tous visent à aider nos clients à améliorer leurs capacités de détection et de réaction. Notre plan consiste à fournir du renseignement de sécurité via tous les moyens nécessaires : avec une technologie de détection des menaces ciblées, un service pour analyser un événement lié à la sécurité et y réagir et du renseignement qui permet d’analyser comme il se doit un problème.

[youtube https://www.youtube.com/watch?v=9myhQw1exTE&w=560&h=315]

Nous sommes conscients du fait que pour beaucoup d’entreprises, aller au-delà de la simple prévention constitue un défi. Mais la détection précoce et la neutralisation rapide ne serait-ce que d’une seule attaque ciblée justifie cet investissement. De plus, cela améliore les chances de prévention de la prochaine attaque contre l’infrastructure de l’entreprise.