Gérer les risques
Aujourd'hui et demain

Cyberprévention

Les kits d'exploitation de vulnérabilités ont la cote chez les cybercriminels

Selon sa dernière étude, Threat Index, l'éditeur de cybersécurité Check Point constate une augmentation massive de l'utilisation des kits logiciels par les cybercriminels dans le monde entier.

Les kits d’exploitation de vulnérabilités sont des logiciels librement téléchargeables, conçus pour découvrir et exploiter des vulnérabilités informatiques sur des machines. Ainsi visent-ils à télécharger et y exécuter du code malveillant. En recul dans leur utilisation par les cyberpirates depuis leur pic de mai 2016, notamment après le retrait des principales variantes comme Angler et Nuclear, ils reprennent du service avec le kit Rig. En effet, dans son Threat Index, son étude mensuelle, l’éditeur israélien de solutions de cybersécurité Check Point, constate que Rig est remonté en flèche pour devenir le second logiciel malveillant le plus utilisé dans le monde entier tout au long de cette période du mois de mars. Le Threat Index mentionne également l’augmentation spectaculaire de Terror qui manque de peu d’entrer dans le top 10 actuel des kits d’exploitation de vulnérabilités.

Rig et Terror s’attaquent au Bitcoin
Point fort de Rig, il s’attaque à des technologies très utilisées : Flash, Java, Silverlight et Internet Explorer. La chaîne d’infection commence par une redirection vers une page d’atterrissage contenant du code JavaScript recherchant des vulnérabilités dans des plug-ins et fournissant le code malveillant correspondant. Pour sa part, Terror contient huit exploitations de vulnérabilités actives différentes. Ensemble, Rig et Terror comportent donc une grande variété de menaces : chevaux de Troie bancaires, logiciels rançonneurs, spambots et extracteurs de bitcoins, la célèbre monnaie cryptographique.

HackerDefender, Rig, Conficker : le top 3 des menaces

Poursuivant la tendance observée en février, les trois principales familles de logiciels malveillants comportent également un large éventail de vecteurs d’attaque et de cibles, qui impactent toutes les étapes de la chaîne d’infection. Les logiciels rançonneurs étaient l’un des outils les plus rentables pour les cybercriminels en 2016, et grâce aux kits d’exploitation de vulnérabilités désormais utilisés pour les installer, cette tendance ne montre aucun signe de perte de vitesse. Les logiciels malveillants les plus courants en mars dernier étaient HackerDefender et le kit d’exploitation de vulnérabilités Rig respectivement en première et en seconde place, chacun impactant environ 5% des entreprises dans le monde, suivis par Conficker (4%).
Rappelons que HackerDefender est un rootkit en mode utilisateur pour Windows pouvant être utilisé pour cacher des fichiers, des processus et des clés de registre, ouvrir une porte dérobée et rediriger du trafic via des ports TCP ouverts par des services existants. Cela signifie qu’il est impossible de détecter cette porte dérobée par des moyens traditionnels. Quant à Conficker, il s’agit d’un ver permettant d’effectuer des opérations à distance et de télécharger des logiciels malveillants. Les postes infectés sont contrôlés par un botnet qui contacte son serveur de commande et de contrôle pour recevoir des instructions.

Nécessité de se protéger
« Ce retour spectaculaire des kits d’exploitation de vulnérabilités montre que les anciennes menaces ne disparaissent pas pour toujours. Elles sont tout simplement mises en sommeil et peuvent être rapidement redéployées, explique Nathan Shuchami, vice-président des produits émergents chez Check Point. Il est toujours plus facile pour les pirates de modifier des types de menaces et des familles de logiciels malveillants existants plutôt que d’en développer de nouveaux. » Pour faire face à ces kits d’exploitation de vulnérabilités, les entreprises ont intérêt à déployer des systèmes de sécurité avancés sur l’ensemble de leur réseau.

Erick Haehnsen

Commentez

Participez à la discussion