Au-delà des ransomwares : un regard sur d’autres menaces de logiciels malveillants
Pour une part importante, nous continuons à nous concentrer sur les ransomwares et sur la façon dont ils infiltrent les entreprises et les institutions. Mais ignorer les « bons vieux malwares », un terme fourre-tout pour désigner tout un ensemble d’entités malveillantes, notamment les virus, les chevaux de Troie, les spywares, les vers et bien d’autres, peut coûter cher.
« Les équipes informatiques étant peu étoffées dans les entreprises et chez les MSP, il arrive que toutes les ressources soient déployées pour lutter contre les ransomwares ou les menaces internes, alors que d’autres menaces devraient également être suivies avec attention », explique Cecil Craig, analyste en cybersécurité à Phoenix.
Parmi ces « autres menaces » figurent de nombreuses charges utiles. « Et, à titre anecdotique, il semble que les pirates redoublent d’efforts pour pénétrer dans les systèmes en utilisant toutes sortes de techniques différentes », ajoute M. Craig.
Voici un tour d’horizon des récents incidents liés à des malwares autres que les ransomwares et qui ont fait la une des journaux :
Nullmixer : un nouvel injecteur de malware qui peut infecter les appareils Windows avec une douzaine de familles de malwares différentes en même temps, par le biais de fausses failles logicielles vantées sur des sites malveillants dans des résultats de recherche Google. NullMixer agit comme un entonnoir de propagation des infections, utilisant un seul exécutable Windows pour lancer une douzaine de familles de malwares différentes, ce qui conduit à plus de deux douzaines d’infections sur un seul appareil.
« Les malwares comme Nullmixer offrent aux pirates une sorte de "tout en un" à déployer, qui peut inclure le vol de mots de passe et des spywares », explique M. Craig. Selon les rapports publiés, il peut également introduire des chevaux de Troie, des portes dérobées, des spywares, des bankers, de faux logiciels de nettoyage du système Windows, des dispositifs de piratage du bloc-notes et des mineurs de cryptomonnaie.
Chaos : un malware de l’internet des objets (IoT) qui passe d’une cible à l’autre et sévit dans certains marchés verticaux, dont celui des services financiers. Les cybercriminels utilisent le langage de programmation Go de Google pour cibler certains appareils IoT.
Selon ZDNet, Chaos exploite les vulnérabilités connues mais non corrigées des dispositifs de firewall pour s’introduire dans un réseau. Il s’agit notamment de failles critiques d’exécution de code à distance affectant les routeurs sans fil HG532 de Huawei pour les particuliers et les petites entreprises (CVE-2017-17215) et d’une faille plus récente touchant les routeurs de Zyxel (CVE-2022-30525).
« Et ceci n’est qu’une illustration de l’écosystème IoT dans son ensemble. Il s’agit d’une véritable faille dans de nombreux systèmes. Les MSP doivent rester vigilants, notamment en protégeant et en sécurisant les points d’entrée de l’IoT », souligne M. Craig.
Erbium : « Une menace sérieuse », c’est ainsi qu’un analyste qualifie ce nouveau malware.
Laptop Magazine décrit Erbium comme « un outil de vol de données et d’informations qui cible vos mots de passe, vos cartes de crédit, vos cookies, vos portefeuilles de cryptomonnaies, et vraisemblablement bien plus encore ». En raison de sa propagation rapide et de sa grande disponibilité, il pourrait être modifié à l’avenir afin d’infecter des utilisateurs de façon inédite. »
Malware PowerPoint : Bleeping Computer a révélé que des pirates informatiques soupçonnés de travailler pour la Russie ont commencé à utiliser PowerPoint pour diffuser des malwares.
« Tout comme les pirates qui cachent des malwares dans le logo de Microsoft, il s’agit d’un autre exemple de pirates qui profitent de la bonne réputation d’une marque. La plupart des utilisateurs font confiance à Power Point et ne croiraient probablement jamais que ce logiciel puisse être utilisé comme vecteur de diffusion de malwares, et c’est précisément sur ce terrain que les pirates mettent à profit leurs compétences », explique M. Craig.
La diffusion du malware résulte du mouvement de la souris dans les présentations Microsoft PowerPoint, qui déclenche un script PowerShell malveillant.
Emplois gouvernementaux : TechRadar relate que des cybercriminels s’attaquent aux demandeurs d’emploi aux États-Unis et en Nouvelle-Zélande pour distribuer des Cobalt Strike Beacons, mais aussi d’autres virus et malwares. Selon Tech Radar :
Les chercheurs de Cisco Talos affirment qu’un pirate inconnu envoie de multiples tentatives de phishing par e-mail, en se faisant passer pour l’Office of Personnel Management (OPM) des États-Unis, ainsi que pour la Public Service Association (PSA) de Nouvelle-Zélande.
L’e-mail invite la victime à télécharger et à exécuter un document Word joint, prétendant qu’il contient plus de renseignements sur le poste à pourvoir.
« Même si toutes les personnes à la recherche d’un emploi ne sont pas prêtes à tout pour l’obtenir, un demandeur d’emploi peut avoir l’esprit occupé et se laisser plus facilement berner par quelque chose dont il se serait méfié en temps normal », explique M. Craig. Selon lui, les MSP doivent adopter une approche holistique de la sécurité, ratisser large et être à l’affût de toutes les vulnérabilités.
« Vous avez peut-être réussi à contrer une attaque par ransomware, mais d’autres attaques peuvent être tout aussi dévastatrices, et si vous ne les repérez pas toutes, vous compromettez votre efficacité », précise M. Craig.
E-book : 13 types de menaces par e-mail à connaître immédiatement
Cet article a été initialement publié sur SmarterMSP.com. Abonnez-vous à SmarterMSP.com pour obtenir les toutes dernières informations sur la cybersécurité et les actualités qui vous aideront à améliorer votre activité de MSP.
