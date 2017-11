L’éditeur partage les conclusions de son étude annuelle sur les cybermenaces. Selon son étude, les ransomwares et les mineurs de monnaie numériques sont les deux types de malwares les plus diffusés, car ils offrent aux pirates une monétisation facile et sont facilement disponibles en libre-service sur Internet.

Contrairement aux années précédentes, les concepteurs de ransomware en 2017 se sont spécialement concentrés sur l’infection d’infrastructures touchant des secteurs verticaux tels que l’éducation, la santé et la finance.

Depuis la réapparition en mars dernier, de la famille de ransomware Troldesh, les entreprises ont été confrontées à des attaques extrêmement ciblées qui exploitent les failles du Remote Desktop Protocol pour se connecter aux infrastructures systèmes, puis infecter manuellement les ordinateurs des entreprises.

Des variantes de ransomware particulières telles que Troldesh et GlobeImposter disposent désormais d’outils de mouvement latéral (tels que Mimikatz) pour infecter les entreprises et utilisent des mécanismes de nettoyage pour couvrir leurs traces.

Les mineurs de crypto-monnaie ont adopté plusieurs formes et utilisé différentes approches en 2017. Les habituels mineurs de monnaies illégaux se sont ainsi empressés d’adopter les tactiques de mouvement latéral mis à leur disposition via des exploits comme EternalBlue et EternalRomance, prétendument issus de la NSA, pour infecter les ordinateurs des entreprises et accentuer le minage. Le mineur Monero Adylkuzz, qui est apparu début de mai, à peu près en même temps que WannaCry, en est un exemple caractéristique.

Un autre développement intéressant dans le paysage des menaces de 2017 est la ré-émergence de Qbot (également connu sous le nom de Brresmon ou Emotet), un ver polyvalent, avec des fonctionnalités de détection de réseau et de mise en place de backdoor qui existe depuis des années. Il est réapparu avec une refonte significative de l’infrastructure de commande et de contrôle et, plus important encore, avec un moteur polymorphe utilisant le cloud, afin de lui permettre de prendre un nombre de formes pratiquement illimitées pour éviter la détection des antivirus.