Post on 13-Jun-2018
1
EVOLUTION de la Cybercriminalité, les dernières tendances
Retour sur 20 ans de menaces
2
Ampleur des menaces
1NOUVEAU VIRUS CHAQUE HEURE
1994
1NOUVEAU VIRUS CHAQUE MINUTE
2006
1NOUVEAU VIRUS CHAQUE SECONDE
2011
310,000NOUVEAUX SAMPLES CHAQUE JOUR
2016
3
0.1%
9.9%
90%
NATURE DES MENACES
Cybercrime traditionnel
Menaces ciblant des organisations
Cyber-armes
Attaques Ciblées
Menaces Persistantes Avancées - APT
4
PROPAGATION DES MENACES
Exploit kits
Réseaux sociaux
USB
5
EVOLUTION DES MENACES : Q2 2016
Principaux chiffres et statistiques
6
L’attaque ciblée n’est pas une attaque directe C’est un processus continu!
LE PROCESSUS APT PEUT PRENDRE
PLUSIEURS ANNÉES POUR COMPLÉTER
SON ATTAQUE SANS JAMAIS
ÊTRE DÉCOUVERT
• Rester furtif et dormant
• Extraction des données
• Effacer les traces• Sortir
discrètement
EXFILTRER
• Obtention des accès
• Augmentation privilèges
• Cartographie• Mouvements
latéraux• Prise de
contrôle
ÉTENDRE ACCÈS
• Recherche cible• Création stratégie• Construire son jeu
d’attaque
PRÉPARER
• Exploitation faiblesses
• Pénétration périmètre
INFECTER
7
Comment adresser une attaque ciblée
GLOBAL THREAT
INTELLIGENCE
EFFICACITÉ RÉPONDRE
• Analyser l’incident• Prendre les actions
immédiates pour atténuer les conséquences
VIGILANT
• Découvrir l’incident• Tracer sa source
immédiate • Comprendre sa
nature
DÉTECTER
MULTI-COUCHESPRÉVENIR
• Réduire les risques• Améliorer la
connaissance des dangers
• Implémenter une approche efficace pour atténuer les risques potentiels avec des solutions existantes
INTELLIGENT PRÉDIRE
• Analyser les lacunes de sécurité
• Ajuster les contre-mesures en adéquation
• Créer un SOC dédié
9
GEOGRAPHIE DES MENACES - Top 10 – Q2 2016
►Localisation géographique des ressources en ligne utilisées lors des attaques et bloquées par les modules antivirus.
►Q2 2016 c’est 171,895,830 attaques exécutées depuis des ressources web situées dans 191 pays.
►81% des ressources en ligne utilisées pour propager les menaces sont situées dans 10 pays.
10
VULNERABILITES LES PLUS UTILISEES
►Les 1ere places durant Q2 2016 ont été occupés par les Navigateurs (48%), ce qui inclue les exploit ciblant les navigateurs internet. Cette catégorie est à ce niveau depuis les 12 derniers mois.
►Durant Q2 2016, les exploits pour Adobe Flash Player sont restés populaires. 2 nouvelles vulnérabilités de ce logiciel ont été découverte durant cette période: CVE-2016-4117 CVE-2016-4171Les 2 ont été utilisées dans les exploits kit Magnitude et Neutrino. La seconde a également été utilisée dans l’exploit kit ScarCruft.
11
Statistiques Q1 2016
228 420 754 attaques en ligne réparties sur 195 pays
74 001 808 URLs malicieuses (AV web)
18 610 281 objets malveillants, scripts, codes d’exploitation, fichiers exécutables (AV web)
174 547 611 objets malveillants ou potentiellement indésirables (AV fichiers)
372 602 Crypto ransomware attaques bloquées (uniques)
12
MENACES MOBILE : Q2 2016
Principaux chiffres et statistiques
13
MENACES MOBILES – STATISTIQUES Q2 2016
14
MENACES MOBILE – TROJANS BANCAIRES
15
LES CRYPTOVIRUSLE MAL DE 2016 !!
RANSOMWARE – PROBLEM OF THE YEAR?
16
EN Q3 de l’année 2016, nous avions déjà recensé le même nombre de cyber menaces que sur une année entière .
Les Ransomwares sont devenus l'une des principales caractéristiques du paysage menaces
Malheureusement, c'est une situation qui va continuer à évoluer,
En Q3 2016 nous avons bloqués plus d'attaques de ransomwares que dans l'ensemble de 2015!
Le nombre total de modifications des cryptolockers dans notre collection de logiciels malveillants à ce jour est au moins de 26.000. Au moins 21 nouvelles familles de cryptolckers et 32 091 nouvelles modifications ont été détectées au Q3 2016.
Au troisième trimestre de 2016, 821 865 utilisateurs uniques ont été attaqués par des cryptolockers- soit 2,6 fois plus qu'au trimestre précédent.
RANSOMWARE
17
Number of new cryptor samples in our collection Number of users attacked by ransomware
TOP 10 CRYPTORS Q3 2016
18
19
Pourquoi il y a en a eu autant?
21
RETOUR SUR LE CAS LOCKY
En février 2016, Internet a été secoué par une épidémie provoquée par le nouveau trojan ransomware Locky
Verdict Kaspersky Lab :Trojan-Ransom.Win32.Locky (~7 variantes par jour)
Utilisateurs répartis dans 114 pays
L’analyse de l’échantillon a démontré qu’il s’agissait d’un tout nouveau représentant d’une classe de ransomware créé à partir de zéro
Propagation : spams avec des downloaders malveillants en pièce jointe
22
LE CAS LOCKYDétection des fichiers avec les macros malveillantes sous les verdicts Trojan-Downloader.MSWord.Agent et HEUR:Trojan-Downloader.Script.Generic
Macros automatiques désactivées par Microsoft mais activation manuelle possible
Du coup nouveau format : archive zip qui contient un ou plusieurs scripts en langage JavaScript
Versions bilingues - La victime doit exécuter les scripts manuellement
23
LE CAS LOCKYContacte le serveur de commande et signale l’infection.
Obtient du serveur la clé publique RSA-2048 ainsi que l’identifiant d’infection et il les enregistre dans la base de registre.
Détection langue OS pour texte victime et l’enregistre dans la base de registre.
Chiffre les fichiers portant certaines extensions sur les disques locaux.
Supprime les clichés instantanés (shadow copies) des fichiers.
S’inscrit dans le démarrage automatique (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run).
Recherche les fichiers portant certaines extensions sur les disques réseau (mappés ou non) et les chiffre.
Affiche à la victime les demandes des individus malintentionnés.
Termine son processus et se supprime lui-même.
24
LE CAS LOCKY
25
Le cas locky
26
PLETOR, SVPENG : ransomware pour mobile
Pletor• Chiffrement via AES
• Chiffrement des fichiers multimédias et documents personnels
• Mugshot de l’utilisateur
SVPENG• Imite une analyse du téléphone puis le
bloque• Demande de rançon de 500$• Empêche le redémarrage / arrêt du terminal
27
Grâce à un ransomware, les transports de San Francisco deviennent totalement gratuits (26 Nov)
2000 des 8656 postes informatiques utilisés par la régie de transport affiche un message indiquant « Vous avez été piratés, vos données sont cryptées » avec l’adresse mail des hackers.les pirates exigent une rançon
pour débloquer les systèmes attaqués.
28
Plus possible d’acheter de tickets
Le problème pour la régie de transport, c’est que les hackers ont également bloqué le système de billetterie. Pour éviter tout problème aux voyageurs, la SFMTA a alors pris la décision de permettre aux usagers de voyager gratuitement sur toutes ses lignes le temps que le problème soit résolu, soit de vendredi soir à samedi matin
29
COMMENT CONTRER LES CRYPTOVIRUS
30
NE PAYEZ PAS
,
Avec une rançon moyenne d’environ 300$, les campagnes de ransomwares de millions de dollars semblent irréalistes, cependant de légères augmentations font leur apparition au fil du temps, ces programmes d’extorsion ayant prouvé à la fois leur efficacité et leur endurance.L’utilisateur lambda sera éventuellement confronté à la question difficile de payer la rançon ou de perdre ses fichiers. Malheureusement, plusieurs choisissent de payer
31
Quelles sont les bonnes démarches à adopter ??
Composantes d’une protection efficace contre les cryptomalwares :
► Protection Antivirus sur le flux de messagerie à différents niveaux de l’infrastructure
► Protection des postes de travail :• Analyse en temps réel des fichiers
(Antivirus Fichiers)• Analyse en temps réel du courrier
(Antivirus Courrier)• Analyse comportementale
(System Watcher)• Blocage du lancement d’applications pour les dossiers
(Contrôle du lancement des applications)• Protection des extensions de fichiers sensibles
(Contrôle de l’activité des applications)
► Sensibilisation des utilisateurs aux bonnes pratiques
► Sauvegarde protégée et régulière des données
32
SÉCURISER LES RÉSEAUX D'ENTREPRISE : UNE TÂCHE DE PLUS EN PLUS DIFFICILE
Des terminaux de plus en plus
diversifiés
Utilisation des périphériques
personnels à des fins
professionnelles
Installation de correctifs pour
plusieurs applications sur
plusieurs appareils
WiFinon sécurisé
Augmentation de la mobilité
Évolution etmultiplication des
programmes malveillants
33
PRENDRE DES MESURES POUR PROTÉGER VOTRE ENTREPRISE N'A JAMAIS ÉTÉ AUSSI VITAL
Créez une politique de sécurité robuste, concise et efficace
Mettez vos politiques en pratique rapidement et simplement
Sensibilisez vos employés aux cyber-menaces et offrez-leur les moyens d'agir
Éliminez toute situation pouvant laisser la place aux comportements à risque
Consacrez-vous plus à la sécurité qu'à la résolution des problèmes a posteriori
Anticipez les risques et instaurez des mesures préventives
Éducation
Mise en application
Outils
Prévention des atteintes à la sécurité informatique et des données
TARGETED ATTACKS AND APTS SEE A STRONG INCREASE
34
DES OUTILS D’EXPERTS
35
MERCI !!
36