Auteurs :
Alexander Ivanyuk — Senior Director, Technology
Irina Artioli — Chercheuse, Cyber Protection Evangelist, TRU
Ce rapport propose un état des lieux des activités et tendances liées aux cybermenaces, récemment observées par l'Acronis Threat Research Unit (TRU) et les capteurs de cybersécurité. Les chiffres présentés ici ont été collectés en juin de cette année et reflètent les menaces que nous avons détectées, ainsi que les actualités du domaine public. Ce rapport offre une vue globale et se fonde sur les données recueillies auprès de plus d'un million de terminaux disséminés dans le monde entier.
Incidents du mois
Les pirates utilisent une technique appelée « Authenticode stuffing » pour transformer en malwares des programmes d'installation ConnectWise ScreenConnect légitimes et signés numériquement, sans pour autant briser les signatures. En modifiant uniquement la table des certificats pour y insérer des configurations malveillantes, les attaquants conservent le statut de confiance du fichier tout en le redirigeant vers des serveurs qu'ils contrôlent. Cette tactique, découverte par G DATA, a été utilisée dans des campagnes de phishing distribuant de faux documents qui installent des clients ScreenConnect trojanisés. À l'exécution, le malware affiche une fausse fenêtre de mise à jour de Windows tout en établissant secrètement un accès distant. G DATA a nommé les variantes Win32.Backdoor.EvilConwi et Win32.Riskware.SilentConwi et les a signalées à ConnectWise, qui n'a pas répondu publiquement. Une méthode similaire a également été utilisée pour modifier le programme d'installation du VPN NetExtender de SonicWall afin de voler des identifiants. Ces attaques procèdent d'une nouvelle méthode dangereuse qui consiste à exploiter des logiciels de confiance pour diffuser des malwares furtivement, en contournant les défenses traditionnelles des antivirus qui reposent sur la validation de signatures. Les équipes de sécurité sont invitées à inspecter les données de configuration des binaires signés et à limiter l'utilisation des outils d'accès distant pour réduire l'exposition.
Détections de malwares en juin
En juin, Acronis Cyber Protect a bloqué plus de 980 000 menaces de malware sur les terminaux, soit une augmentation de 19,8 % par rapport à mai.
Les tableaux ci-dessous indiquent le pourcentage de clients Acronis dont au moins une menace de malware a été bloquée au niveau des terminaux, ainsi que le pourcentage normalisé de clients ayant détecté au moins un malware. Plus le pourcentage est élevé, plus le risque qu'une ressource de ce pays soit attaquée par une attaque de malware est élevé.
Protection
Les solutions Acronis permettent de détecter et de neutraliser les menaces susmentionnées.
Acronis Cyber Protect Cloud protège contre les menaces connues et inconnues grâce à une approche de protection multicouche. Cette approche inclut la détection basée sur les comportements, des détections entraînées par l'intelligence artificielle et l'apprentissage automatique, ainsi que les analyses antiransomware heuristiques, qui peuvent détecter et bloquer les tentatives de chiffrement et restaurer automatiquement les fichiers modifiés sans aucune intervention de l'utilisateur.
Le filtrage des URL et des fonctionnalités supplémentaires de protection des messageries peuvent vous aider à contrer les menaces d'ingénierie sociale. Votre score Acronis #CyberFit vous aide à identifier rapidement les systèmes qui nécessitent une attention particulière, tandis que la gestion des correctifs intégrée simplifie la mise à jour de vos logiciels vers les dernières versions.
Acronis XDR pour Acronis Cyber Protect Cloud offre la visibilité nécessaire pour comprendre les attaques, simplifie le contexte pour les administrateurs et permet de remédier efficacement à toutes les menaces.