Monthly Threat Report Octobre 2024 : Hausse des menaces par e-mail
Vade
—16 octobre 2024
—8 min de lecture
Le Monthly Threat Report by Hornetsecurity vous donne des informations mensuelles sur les tendances de sécurité M365, les menaces basées sur les emails et des informations sur les événements actuels dans le domaine de la cybersécurité. Cette édition du rapport mensuel sur les menaces se concentre sur les éléments de l'industrie du mois de septembre, tout en analysant les données concrètes de nos propres services pour le troisième trimestre 2024.
Pour rappel, il y a quelques mois, nous avons cessé de discuter des points de données mentionnés ici sur une base mensuelle pour les aborder plutôt sur une base trimestrielle. Nous avons estimé que cela montrerait plus facilement les changements dans les tendances des attaques par opposition aux micro-changements que nous avions observés sur une base mensuelle en dehors des incidents majeurs (qui justifient souvent leur propre article).
Ce que vous allez découvrir ce mois
- Le pourcentage de menaces transmises par e-mail a été plus élevé au troisième trimestre qu'au quatrième trimestre.
- Le nombre d'attaques par e-mail nécessitant peu d'effort (et finalement rejetées) a légèrement augmenté au cours des mois de juillet, août et septembre.
- Les fichiers PDF, les fichiers d'archives et les fichiers HTML étaient les types de fichiers d’e-mails malveillants les plus populaires au cours de la période de données de ce rapport.
- L'exploitation minière, le divertissement et la fabrication sont les secteurs verticaux les plus ciblés au cours de la période de données.
- Il y a eu une augmentation notable de l'indice de menace pour presque tous les secteurs verticaux au cours du troisième trimestre.
- DHL et DocuSign ont été les deux marques les plus usurpées au troisième trimestre.
- Nous avons observé une augmentation marquée des imitations de la marque American Express au troisième trimestre, probablement due à la saison estivale des voyages.
- Microsoft a récemment organisé un sommet sur la sécurité Windows pour discuter des conséquences de l'incident Crowdstrike et commence maintenant à discuter de plans à long terme pour éviter que le problème ne se reproduise.
- Une vulnérabilité CUPS de haute gravité permet l'exécution de code à distance et oblige les administrateurs à vérifier leurs systèmes Linux.
Overview des menaces
Emails indésirables par catégorie
Le graphique suivant présente la répartition des emails indésirables par catégorie pour Q2 (avril à juin) 2024 par rapport à Q3 (Juillet-Sept) 2024.
Emails indésirables par catégorie
Nos données montrent que les menaces par e-mail ont été plus nombreuses dans les entreprises au cours du troisième trimestre qu’au deuxième. Il s’agit d’une tendance assez constante d’une année sur l’autre, car il est courant de constater que le nombre de menaces diminue pendant les mois d’été. Les auteurs de menaces savent que moins de personnes sont présentes au bureau pendant cette période et qu’il est donc normal qu’il y ait moins de trafic au cours du deuxième trimestre. Cette tendance se reflète souvent dans le troisième trimestre, car juillet et août sont également des mois de déplacements intenses. Nous pensons que le nombre d’e-mails frauduleux va augmenter jusqu’à la fin de l’année.
Il convient de noter qu’au troisième trimestre en particulier, nous avons constaté une augmentation du nombre de menaces par e-mail rejetées. Ces menaces ont tendance à être des attaques par e-mail peu efficaces qui lancent un large filet plutôt que leurs homologues de spear phishing. Quoi qu’il en soit, le niveau de menace pour la sécurité des e-mails reste globalement élevé.
NOTE : Pour rappel, la catégorie « Rejeté » fait référence aux emails que les services Hornetsecurity ont rejeté lors du dialogue SMTP en raison de caractéristiques externes, telles que l'identité de l'expéditeur ou l'adresse IP. Si un expéditeur est déjà identifié comme compromis, le système ne procède pas à une analyse plus approfondie. Le serveur SMTP refuse le transfert d’email au point de connexion initial en raison de la réputation négative de l’adresse IP et de l’identité de l’expéditeur.
Les autres catégories de l'image sont décrites ci-dessous :
- Spam : Ces e-mails sont indésirables et sont souvent promotionnels ou frauduleux. Les e-mails sont envoyés simultanément à un grand nombre de destinataires.
- Menace : Ces e-mails contiennent du contenu nuisible, tel que des pièces jointes ou des liens malveillants, ou sont envoyés pour commettre des délits comme le phishing.
- Menace avancée : Advanced Threat Protection a détecté une menace dans ces e-mails. Les e-mails sont utilisés à des fins illégales et impliquent des moyens techniques sophistiqués qui ne peuvent être repoussés qu'à l'aide de procédures dynamiques avancées.
- Rejeté : Notre serveur de messagerie rejette ces e-mails directement lors de la boîte de dialogue SMTP en raison de caractéristiques externes, telles que l'identité de l'expéditeur, et les emails ne sont pas analysés davantage.
Types de fichiers utilisés dans les attaques par email
Le graphique suivant montre la répartition des types de fichiers utilisés dans les attaques par e-mail tout au long de la période.
Principaux types de fichiers dans les attaques par email
Les fichiers PDF, les fichiers d’archive et les fichiers HTML malveillants continuent d’être les plus populaires auprès des acteurs malveillants pour diffuser des payloads malveillants. Cela correspond à ce que nous observons depuis un certain temps déjà, jusqu’à l’année dernière. Ce qui est plus intéressant, c’est l’augmentation du nombre de documents Microsoft Word et Excel malveillants. Microsoft a désactivé les macros Office par défaut depuis un certain temps déjà et malgré cela, les acteurs malveillants ont trouvé des méthodes efficaces pour contourner ces restrictions, comme demander à l’utilisateur de réactiver les macros, etc.
Indice des emails frauduleux par secteur d’activité
Le graphique suivant présente notre indice de menace email par secteur d’activité, calculé en fonction du nombre d'emails de menace par rapport aux emails légitimes de chaque secteur (en médiane). Différentes organisations reçoivent un nombre d’emails différent. Ainsi, nous calculons la part en pourcentage des emails de menace par rapport aux menaces et aux emails légitimes de chaque organisation pour comparer les organisations. Nous calculons ensuite la médiane de ces pourcentages pour toutes les organisations du même secteur afin de former le score de menace final du secteur.
Indice des menaces email par secteur d’activité
Les secteurs minier, du divertissement et de la fabrication ont été les plus ciblés au troisième trimestre, ce qui confirme une tendance que nous observons depuis un certain temps. En effet, ces secteurs se situent généralement en tête ou presque de notre liste d’usurpations d’identité. Ces organisations ciblées sont généralement suffisamment grandes pour disposer de ressources suffisantes pour payer des rançons, mais elles peuvent également ne pas appartenir à un secteur fortement réglementé, ce qui signifie moins d’infrastructures de sécurité à gérer pour les acteurs malveillants. Par conséquent, il est courant de les voir en tête ou en haut de la liste.
Il convient également de noter que pour ce point de données particulier, nous avons constaté une augmentation de l’indice de menace pour presque tous les secteurs verticaux, ce qui est cohérent avec nos données (présentées ci-dessus) montrant que le nombre d’e-mails propres a diminué par rapport au nombre d’e-mails malveillants au cours de la période de données.
Marques et entreprises usurpées
Le graphique suivant indique les marques et les entreprises que nos systèmes ont le plus détecté lors d'attaques d'usurpation d'identité.
Marques usurpées
DHL et Docusign sont les deux marques les plus usurpées au cours du troisième trimestre. De plus, nous avons constaté une augmentation marquée du nombre d’usurpations de la marque American Express, ce qui indique une éventuelle campagne ciblée d’acteurs malveillants utilisant cette marque en particulier. DHL est l’une des plus grandes marques de livraison au monde et il est courant de la voir en tête de liste. En ce qui concerne les marques plus orientées vers la finance, nous observons des fluctuations chez DocuSign tout au long de l’année. Quant à American Express, cela peut très probablement s’expliquer par le fait que nous venons de terminer les mois de voyage d’été, et qu’American Express a probablement été utilisée plus largement pendant ces mois que d’autres. Les acteurs malveillants le savent et, comme d’habitude, ajusteront leurs TTP (tactiques, techniques et procédures) en conséquence.
Incidents majeurs et événements de l'industrie
Microsoft apporte des modifications en raison de Crowdstrike
L’incident Crowdstrike de cet été est toujours clairement gravé dans l’esprit des professionnels de l’informatique et des voyageurs. Nous avons évoqué le problème dans notre édition d’août 2024 du rapport mensuel sur les menaces si vous souhaitez en savoir plus sur l’incident. L’une des principales critiques de l’incident est le fait que si Crowdstrike n’avait pas eu le niveau d’accès au mode noyau dans Windows dont il disposait, l’impact du problème n’aurait pas été aussi répandu. Cela soulève la question : « quel niveau d’accès un fournisseur tiers devrait-il avoir en ‘Kernel-mode’ ? ».
Il semble que ce soit une question que Microsoft se pose effectivement, et heureusement, il ne la pose pas dans le vide. En fait, Microsoft a récemment organisé un sommet sur la sécurité Windows avec des membres clés de la communauté et des fournisseurs de logiciels de sécurité. Parmi les discussions sur l’écosystème de sécurité, l’un des principaux points abordés était la question même mentionnée ci-dessus, centrée sur l’accès au noyau.
À la suite du sommet, Microsoft a indiqué qu’il travaillait à la création de capacités en dehors du mode noyau qui fourniront aux fournisseurs de sécurité le niveau d’accès approfondi nécessaire pour exécuter leurs fonctions principales. Selon l’article de blog officiel de Microsoft qui a suivi le sommet :
En outre, notre dialogue au sommet a porté sur les mesures à plus long terme au service des objectifs de résilience et de sécurité. Ici, notre conversation a exploré les nouvelles fonctionnalités de la plateforme que Microsoft prévoit de rendre disponibles dans Windows, en s'appuyant sur les investissements de sécurité que nous avons réalisés dans Windows 11. La posture de sécurité améliorée et les paramètres de sécurité par défaut de Windows 11 permettent à la plateforme de fournir davantage de fonctionnalités de sécurité aux fournisseurs de solutions en dehors du mode noyau.
Nos clients et nos partenaires de l'écosystème ont demandé à Microsoft de fournir des fonctionnalités de sécurité supplémentaires en dehors du mode noyau qui, avec SDP, peuvent être utilisées pour créer des solutions de sécurité hautement disponibles. Lors du sommet, Microsoft et ses partenaires ont discuté des exigences et des principaux défis liés à la création d'une nouvelle plateforme capable de répondre aux besoins des fournisseurs de sécurité.
Il reste à voir quel type d'accès cela se traduira pour les fournisseurs de sécurité. Nous continuerons de surveiller cette situation dans les semaines et les mois à venir.
Nouvelles directives du NIST sur les mots de passe
Le NIST a mis à jour ses directives sur les mots de passe pour les fournisseurs d'identité et l'utilisation générale. Voici un résumé des modifications apportées aux directives :
- Nouvelles directives sur la longueur minimale des mots de passe : 8 caractères au minimum, mais 15 caractères ou plus sont recommandés.
- Le NIST recommande de supprimer les règles de composition des mots de passe. Par exemple : l'exigence que votre mot de passe contienne un chiffre et un caractère spécial.
- Le passage de « recommandation » à « ne doit pas » nécessite des rotations périodiques des mots de passe, À MOINS qu'il n'y ait de preuve de violation.
- Autoriser l'utilisation de caractères ASCII et Unicode dans les mots de passe
Il ne s'agit en aucun cas d'une liste exhaustive. Le document complet est disponible sous le nom NIST-800-63b
De plus, nous avons longuement discuté de ce sujet dans un récent épisode du podcast The Security Swarm
Vulnérabilité d'exécution de code à distance CUPS
Une autre nouvelle importante en matière de sécurité a fait les gros titres au cours du mois dernier : l'annonce d'une nouvelle vulnérabilité grave dans le système d'impression Linux CUPS. CUPS signifie Common UNIX Printing System et n'est généralement pas en cours d'exécution sur la plupart des systèmes Linux. Cela dit, si le service est en cours d'exécution, il écoutera sur le port UDP 631 et autorisera les connexions à partir de n'importe quel périphérique du réseau dans le but de créer une nouvelle imprimante.
Cet état pourrait potentiellement permettre une exécution de code à distance via un certain nombre de CVE suivis différents répertoriés ci-dessous :
Les mesures d'atténuation efficaces incluent la désactivation du service en cours d'exécution ou le blocage et/ou le contrôle strict de l'accès au port UDP 631.
Prévisions pour les mois à venir
- Les menaces par e-email devraient poursuivre leur tendance à la hausse pour le reste de l'année en raison de la prochaine période des fêtes de Noël.
- En raison de la nature de la détection des menaces, il est possible que nous découvrions également des vulnérabilités dans les systèmes et bibliothèques open source populaires et courants.
Recommandations mensuelles
- Préparez vos utilisateurs finaux à l'augmentation prochaine des menaces par e-mail en faisant appel à un fournisseur de formation de sensibilisation à la sécurité de confiance pour les mettre au courant.
- Si vous possédez des systèmes Linux en interne, assurez-vous de les vérifier pour détecter les risques associés aux vulnérabilités CUPS actuelles. Vérifiez principalement l'accès au port UDP 631.