Un ransomware chiffré capturé dans des micro-machines virtuelles

Le dernier rapport Threat Insights de HP révèle que les ransomwares sont désormais moins susceptibles d’être livrés par e-mail que par des humains.

Le National Cyber ​​Security Center (NCSC) a récemment publié son rapport annuel. Dans le même temps, un nouveau rapport HP Threat Insights a analysé plus en détail le paysage actuel de la cybercriminalité.

Un ransomware chiffré capturé dans des micro-machines virtuelles

Le rapport du NCSC montre qu’il a découvert 15 354 campagnes qui avaient utilisé des thèmes de coronavirus comme « leurre » pour tromper les gens en cliquant sur un lien ou en ouvrant une pièce jointe contenant un logiciel malveillant. Cependant, les chercheurs de HP ont constaté que seulement 5% des e-mails qu’ils ont examinés l’utilisaient comme un leurre – donc, bien que cela soit significatif, ce n’est toujours pas une tactique principale.

Le rapport de HP a révélé que l’utilisation du fil jacking était courante, où les pirates ont accès à la boîte de réception d’un utilisateur et envoient une réponse à tous les messages des fils pour inciter les gens à cliquer sur du contenu malveillant. Hormis le thread jacking, les hackers préfèrent toujours les hameçons « traditionnels » pour attirer les utilisateurs: les deux cinquièmes des leurres malveillants Emotet livrés par e-mail qui pouvaient être identifiés comprenaient des factures, des bons de commande et des contrats; près d’un tiers (31%) étaient des formulaires et des messages; tandis que près d’un quart (24%) étaient des notifications de modification.

Le rapport du NCSC a également déclaré qu’il avait traité plus de trois fois plus d’incidents de ransomware en 2020 que l’année dernière. Encore une fois, il s’agit d’un domaine couvert dans le rapport HP qui a révélé un changement dans la façon dont les ransomwares sont livrés. Alors que dans le passé les ransomwares étaient souvent envoyés par e-mail – un utilisateur ouvrait une pièce jointe ou un lien d’e-mail et le ransomware commençait immédiatement à chiffrer ses fichiers – c’est moins courant maintenant, car les opérateurs de ransomwares sont devenus plus sélectifs quant aux organisations qu’ils ciblent. Aujourd’hui, les attaquants ont souvent déjà eu accès aux systèmes victimes via des chevaux de Troie, tels qu’Emotet. Ils utilisent ensuite leur accès pour comprendre et se déplacer sur le réseau d’une victime avant de déployer un ransomware en aussi peu que quelques heures.

Plus généralement, le rapport HP montre également que les campagnes de spam Emotet ont augmenté de plus de 1 200% au T3 2020 (juillet à septembre), par rapport au T2 2020. Les entreprises sont spécifiquement ciblées, avec un quart des spam Emotet envoyés aux domaines .org, tandis que les organisations japonaises et australiennes ont été les plus touchées par les activités de spam d’Emotet; L’analyse montre que 32% des échantillons ont été envoyés vers des domaines japonais, tandis que près de 20% ciblaient des domaines australiens. Près de la moitié (43%) des menaces transmises par e-mail au troisième trimestre étaient des chevaux de Troie.

Alex Holland, analyste principal des programmes malveillants chez HP qui a étudié le rapport, a commenté: « Le modèle typique des campagnes Emotet que nous avons observées depuis 2018 suggère que nous sommes susceptibles de voir des spams hebdomadaires jusqu’au début de 2021. Le ciblage des entreprises est cohérent avec le objectifs des opérateurs d’Emotet, dont beaucoup souhaitent négocier l’accès aux systèmes compromis aux acteurs du ransomware.

« Dans les forums et les marchés clandestins, les courtiers d’accès annoncent souvent des caractéristiques des organisations qu’ils ont violées, telles que la taille et les revenus, pour attirer les acheteurs. Les opérateurs de ransomware en particulier sont de plus en plus ciblés dans leur approche visant à maximiser les paiements potentiels, s’éloignant de leurs tactiques de pulvérisation et de prière. Cela a contribué à la hausse des paiements moyens de ransomware, qui a augmenté de 60%.  »

Le rapport a été compilé entre juillet et septembre 2020 à l’aide des données clients collectées auprès de HP Sure Click Enterprise. HP Sure Click piège les logiciels malveillants dans des micro-machines virtuelles sécurisées, isolées du réseau et du périphérique. Un effet secondaire de la protection des utilisateurs de cette manière est qu’il peut capturer des logiciels malveillants qui n’ont pas été détectés par d’autres outils de sécurité, car ils incitent le logiciel malveillant à montrer sa main, même pour les logiciels malveillants conçus uniquement pour s’exécuter après une interaction humaine. HP Sure Click lui permet ensuite de s’exécuter dans un environnement sécurisé; Cela donne aux chercheurs un accès à la chaîne de destruction complète fournissant une télémétrie des menaces riche sur le comportement du malware.

Cette visibilité signifiait que dans une campagne, HP a vu des pirates informatiques crypter des documents malveillants avec la fonction « Crypter avec mot de passe » de Microsoft Word, pour passer outre les outils de sécurité et de détection du réseau. Le malware, dans ce cas TrickBot, ne se déploierait que si l’utilisateur saisissait un mot de passe envoyé avec l’e-mail de phishing. Cela signifiait que la plupart des outils antivirus ne pouvaient pas accéder au fichier pour le scanner. Cependant, HP a pu le regarder dans la micro-VM – une tactique relativement simple, mais qui s’est avérée efficace pour contourner la détection.

Les données illustrent les échecs de la détection et soulignent pourquoi les entreprises doivent se concentrer sur des mesures de protection proactives, comme l’explique Ian Pratt, responsable mondial de la sécurité des systèmes personnels chez HP Inc.: « Nous devons réinventer notre approche de la sécurité; une nouvelle approche basée sur le matériel est nécessaire qui arrête de faire peser le fardeau de la sécurité sur les utilisateurs en isolant les menaces pour s’assurer qu’ils ne peuvent pas infecter les PC ou se propager à travers les réseaux d’entreprise.

« Alors que l’hypothèse de l’industrie à ce jour est que la protection ne peut pas fonctionner, nous remettons ce problème en question en proposant une nouvelle approche architecturale du problème qui soit transparente pour l’utilisateur final. La clé pour cela est de passer à un modèle qui ne fonctionne pas. ‘ne repose pas sur la détection, mais utilise à la place des pratiques d’ingénierie de sécurité solides – telles que l’isolation fine, le principe du moindre privilège (PoLP) et le contrôle d’accès obligatoire – pour fournir une protection sans avoir besoin de détection.  »

com