9 logiciels malveillants sur 10 arrivent par des connexions chiffrées HTTPS
Les menaces de type malware passent de plus en plus inaperçues. Ainsi, 91,5% des logiciels malveillants se sont propagés par des connexions chiffrées HTTPS. C’est le chiffre surprenant que les chercheurs de l’entreprise Watchguard soulignent dans leur rapport.
Le contexte : pour rédiger ce rapport et sortir ce chiffre, les chercheurs de Watchguard se sont appuyés sur les résultats de leur télémétrie, couvrant la période du deuxième trimestre 2021. L’entreprise annonce avoir “déployé dans le monde entier près d'un million d'appliances multifonctions et intégrées de gestion des menaces”. La télémétrie issue de ces serveurs et boitiers dédiés a également permis de constater que ces menaces proviennent essentiellement de deux familles de logiciels malveillants : AMSI.Disable.A, qui a été repéré pour la première fois par Watchguard au premier trimestre 2021. Et le malware plus ancien connu sous le nom de XML.JSLoader. Réunies, ces deux familles représentent plus de 90 % des détections sur le protocole HTTPS et plus de 12 % du total des détections, selon le rapport. WatchGuard a d’ailleurs déployé dans le monde entier près d'un million d'appareils multifonctions, incluant la fonction de gestion des menaces.
Cela signifie concrètement que toutes les organisations, ou particuliers, qui n’examinent pas le trafic HTTPS dans leur périmètre, laissent s’immiscer subrepticement neuf tentatives d’infection par malware sur dix. Pour rappel, le protocole HTTPS permet de sécuriser les liaisons réseau entre deux appareils mais pas l’innocuité du contenu transféré. ‘Malheureusement, peu d'administrateurs configurent l'inspection HTTPS pour examiner ces connexions. Les ramifications de ce manque de visibilité sont encore plus graves ce trimestre’, déplore l’équipe de Watchguard.
Outre ces inquiétudes, les chercheurs ont identifié d’autres menaces en matière de malware, entre avril et juin. Ils notent la croissance de ce que l’on appelle les menaces sans fichier (Menaces fileless en anglais). Au cours du premier semestre de l’année, les détections de logiciels malveillants provenant de moteurs de script, comme Windows PowerShell, ont dépassé les 80% du volume total d’attaques initiées par script, comparé à 2020. Si l’on reste sur ce rythme, alors les détections de menaces sans fichier en 2021 devraient représenter le double du nombre de menaces interceptées l’année dernière. Le mieux consisterait en la désactivation de PowerShell.
Selon le rapport, ‘les scripts PowerShell malveillants sont connus pour se cacher dans la mémoire de l'ordinateur et utilisent déjà des outils, des binaires et des bibliothèques légitimes qui sont installés sur la plupart des systèmes Windows. C'est pourquoi les attaquants ont augmenté leur utilisation de cette technique, appelée attaque LotL (Living off the land). En utilisant ces méthodes, un malware sans fichier pourrait rendre son script invisible pour de nombreux systèmes antivirus qui n'inspectent pas les scripts ou la mémoire des systèmes’.
Les chercheurs ont aussi observé que les attaques par rançongiciels se multiplient à un rythme effréné. Par rapport à 2020, elles devraient être en augmentation de 150% cette année. Une hausse significative alors que les ransomwares détectés sur les terminaux étaient en baisse entre 2018 et 2020. D’ailleurs, ces chiffres concordent avec les analyses d'autres entreprises de cybersécurité, comme SonicWall. En août, elle a constaté une augmentation de 151% du volume global des attaques de ransomware, au cours des six premiers mois de l'année par rapport au semestre précédent. Les résultats de la télémétrie de SonicWall révèlent 304,7 millions de tentatives d’attaques. C’est un peu plus que la totalité des attaques enregistrées en 2020.