Les experts dAvast font tat dactivits cybercriminelles en partie en baisse en raison du conflit arm, de la baisse continue des ranongiciels en circulation et de la hausse du nombre de botnets Emotet. Ils ont galement mis au jour lun des plus grands rseaux botnet-as-a-service du mond, dans le rapport des menaces du 1er trimestre 2022.
Avast, spcialiste mondial des solutions de scurit et de protection de la confidentialit en ligne, publie ce jour son Rapport des menaces du premier trimestre 2022, qui pointe des cybermenaces en lien avec le conflit qui oppose la Russie lUkraine. Cette tude braque les projecteurs sur plusieurs vnements : un groupuscule APT qui serait dorigine russe sen prend des utilisateurs bass en Ukraine, des outils DDoS sont exploits pour contrer des sites russes, tandis que des attaques par ranongiciels ciblent des entreprises en Ukraine. Il en ressort par ailleurs que des gangs cybercriminels sont affects par le conflit arm, entranant un lger dclin des ranongiciels en circulation et linterruption temporaire du programme Raccoon Stealer, conu pour drober des informations.
En France, on a observ une augmentation de 58 % du cryptomining (entre le dernier trimestre 2021 et le premier trimestre 2022). Cela est principalement d la tendance continue et croissante utiliser divers mineurs Web excutant du code javascript dans le navigateur de la victime.
On a aussi observ des pics d’escroqueries au support technique ciblant les utilisateurs en France la fin du premier trimestre 2022.
Cyber-conflit entre lUkraine et la Russie
Jakub Kroustek, Directeur des tudes sur les malwares chez Avast, explique : Il y a souvent des parallles entre ce qui se passe dans le monde rel et le paysage des menaces au niveau de leur mode de propagation et de leurs cibles. Au premier trimestre 2022, nous avons not une hausse significative des attaques utilisant un type spcifique de programme malveillant (malware) dans les pays impliqus dans le conflit. Compar au quatrime trimestre 2021, il y a eu une hausse de plus de 50 % du volume dattaques par chevaux de Troie daccs distance (RAT) et une hausse de plus de 20 % de celles exploitant des programmes de vol dinformations, que nous avons bloques en Ukraine, Russie et au Blarus. Tous ces malwares sont exploits pour rcuprer des informations ou des fins despionnage. Nous avons galement bloqu 30 % de tentatives de corruption dappareils dans un but de ralliement des botnets en Russie, avec une hausse de 15 % en Ukraine. Lobjectif des pirates est de constituer des armes dappareils capables dorchestrer des attaques DDoS ciblant des mdias, des sites web et des infrastructures critiques. Dun autre ct, nous avons constat une baisse des tentatives dattaques par logiciels publicitaires (adwares) mobiles puisque nous en avons bloqu 50 % de moins en Russie et en Ukraine, la raison possible tant quil y a moins de personnes connectes, surtout en Ukraine.
Juste avant le dbut de la guerre avec lUkraine, le laboratoire des menaces dAvast a repr plusieurs cyberattaques, supposment lances par des groupuscules APT russes. Lactivit de lun deux, Gamaredon, a augment rapidement ds la fin fvrier en diffusant ses malwares auprs dune large audience comprenant des consommateurs, en qute de victimes intressantes des fins despionnage. Un ranongiciel (ransomware) appel HermeticRansom, a t mis en circulation sans doute par un groupuscule APT ; Avast a mis disposition un outil de dchiffrement des donnes pour le contrer.
Les experts dAvast ont suivi de prs les outils proposs par des communauts dhacktivistes pour lancer des attaques DDoS contre des sites web russes offensifs. Les chercheurs ont repr des pages web, parmi lesquelles celles dun site de prvisions mto, qui contenaient dans leurs lignes le code permettant de perptrer ces attaques en se servant du navigateur de lutilisateur, sans son consentement. Ce type dattaques a connu un dclin vers la fin du trimestre. Un botnet vendu comme un service fut utilis pour une campagne DDoS en mars, en lien avec le groupuscule Sodinokibi (REvil) spcialiste des ranongiciels. En outre, les auteurs de malware se sont servis de la guerre pour diffuser leurs programmes, notamment des chevaux de Troie daccs distance (RAT) envoys en pice jointe de mails contenant prtendument des informations importantes au sujet du conflit arm.
Limpact de la guerre en Ukraine sur la cybercriminalit
Les auteurs et exploitants de malware ont t directement affects par la guerre, qui aurait caus la mort dun dveloppeur majeur du programme Raccoon Stealer. Avec pour effet dinterrompre temporairement la distribution de ce logiciel qui vole des informations.
Les experts du laboratoire des menaces dAvast ont galement not la baisse lgre (-7 %) des attaques par ranongiciels dans le monde entier au premier trimestre 2022, compar au quatrime trimestre 2021. Un phnomne imput la guerre en Ukraine, do sont originaires de nombreux exploitants de ranongiciels et leurs affilis. Le nombre dattaques avec demande de ranon a ainsi enregistr une baisse pour le second trimestre conscutif. Au quatrime trimestre 2021, cette baisse est attribue la collaboration entre nations, agences gouvernementales et fournisseurs de logiciels de scurit, qui ont ensemble traqu les auteurs et exploitants de ranongiciels. Les autres causes possibles de ce dclin peuvent tre, primo, larrt des activits en fvrier du groupuscule Maze, lun des plus actifs et fructueux en matire de ranongiciels ; deuzio, la tendance confirme de gangs spcialistes des ranongiciels qui se focalisent dsormais sur des cibles prcises de plus grande envergure au lieu de la stratgie de larrosage .
Le conflit arm a provoqu un schisme au sein du gang Conti, spcialiste des ranongiciels. Un chercheur ukrainien a fait fuiter des fichiers internes rvlant les agissements du groupe et des portions de code source de son ranongiciel aprs sa prise de position pro-russe. Des membres du groupe ont en effet fait allgeance la Russie, promettant de lancer des attaques avec ranongiciels quiconque sen prendrait leur pays. Avec ces fuites, la diffusion des programmes malveillants de Conti a temporairement diminu.
Le Mexique, le Japon et lInde sont des exceptions, puisque les utilisateurs y ont vu leurs probabilits de rencontrer un ranongiciel augmenter respectivement de 120 %, 37 % et 34 % au premier trimestre 2022 compar au quatrime trimestre 2021.
Les parts de march autour du botnet Emotet ont doubl et des TDS servent de tremplin pour des campagnes malintentionnes
Les experts dAvast ont not le doublement des parts de march du botnet Emotet au cours du premier trimestre, avec une hausse significative des tentatives dinfection en mars. De plus, un TDS (systme de direction du trafic) baptis Parrot TDS a t repr, diffusant des campagnes malintentionnes via 165 000 sites infects. Le rapport des menaces dAvast contient galement un rsum de lenqute effectue par ses experts, qui leur a permis de comprendre le modus operandi de Meris, lun des plus grands botnets. Celui-ci, qui est constitu de plus de 230 000 appareils MikroTik vulnrables connects en rseau, a servi de tremplin pour de nombreuses attaques de grande ampleur ces dernires annes.
Du ct des appareils mobiles, les pirates ont chang de tactique pour diffuser des logiciels publicitaires et piger leurs victimes avec des arnaques au SMS surtax, qui continuent de foisonner. Si la plate-forme de tlchargement Google Play Store a servi par le pass de tremplin, des pirates utilisent dsormais des fentres pop-up et notifications de navigateurs pour diffuser leurs applications malveillantes auprs du grand public.
propos dAvast
Avast, une entreprise du FTSE 100, est un spcialiste mondial des produits de scurit et de confidentialit en ligne. Elle protge activement sous les marques Avast et AVG plus de 435 millions d’utilisateurs sur Internet contre les menaces informatiques et celles grandissantes contre les objets connects. Ses rseaux de dtection des menaces utilisent le machine learning et lintelligence artificielle pour dtecter et contrer les menaces en temps rel.
Source : Avast
Et vous ?
Qu’en pensez-vous ?
Voir aussi :