Aout 2024

Cyber threats
Barometer

Les cyber-menaces du mois vues par les analystes CTI de Gatewatcher
156 937
Indicateurs de compromission (IoCs) identifiés
78 958
Rapports de compromission identifiés (groupement d’IoCs)

Éclairage du mois

Ctb Worm

Une fois n’est pas coutume, la période estivale ne semble pas avoir réellement marqué de pause chez les acteurs de la menace. Les fuites de données et l’émergence de nouveaux malwares conservant un rythme élevé. Sur le plan de la détection, l’évènement probablement le plus marquant de ce mois d’août 2024 a été la publication par un Xiao Wei, un chercheur chinois de l’institut Cyber KunLun, d’une vulnérabilité de type “exécution de code à distance” (RCE), évaluée comme critique (CVSSv3.1 : 9.8) sur les systèmes d’exploitation Windows et identifiée comme CVE-2024-38063. La particularité de cette vulnérabilité réside dans son côté “wormable”, ce qui signifie qu’elle pourrait être utilisée afin de permettre à un malware de s’auto-répliquer sans interaction de la part d’un utilisateur. Le spectre de Wannacry se rappelle à notre souvenir.

La vulnérabilité, de type integer underflow (CWE-191), réside dans la pile gérant TCP/IP sur les systèmes Windows, et plus particulièrement la gestion de l’IPv6. Parmi les contournements possibles proposés par Microsoft, se trouve la désactivation d’IPv6. Toutefois, comme le note le site BleepingComputer, l’éditeur indique également dans sa documentation qu’IPv6 est nécessaire au bon fonctionnement des systèmes Vista, 2008 Server et ultérieurs.

Peu de temps après la publication de cette vulnérabilité, des preuves de concepts (comme celle-ci) se sont multipliées tout comme les contre-mesures déployées désormais par les cybercriminels lors de vulnérabilités médiatisées, mais également des analyses en détails de la vulnérabilité comme celle publiée par Marcus Hutchins (@malwaretechguy). Il est intéressant de noter que les preuves de concept, tout comme les analyses aboutissent à l’utilisation de cette vulnérabilité pour effectuer un déni de service mais laissent la réalisation de la partie exécution de code comme une possibilité.

L’absence d’exploitation de masse, depuis la diffusion de cette vulnérabilité le 15 août, semble suggérer que la reproduction à grande échelle est plus complexe qu’au premier abord. Néanmoins s’il était possible de stabiliser l’exploitation de cette vulnérabilité, ou à étendre les actions possibles, les conséquences pourraient être importantes. Dans ce contexte, l’application dans les plus brefs délais des correctifs déjà publiés par la firme de Redmond est donc fortement recommandé.

TOP

VULNÉRABILITÉS CRITIQUES (%)

TOP

SECTEURS  D’ACTIVITÉ VISÉS (%)

Définitions du mois

Le “worm” ou ver informatique est un type de virus qui se distingue par sa capacité à se reproduire et à se propager de manière autonome à travers des systèmes informatiques. Ceux-ci utilisent le plus souvent des vulnérabilités réseau ou système pour se propager.

Le tout premier cas connu d’infection par un ver informatique remonte à 1988, lorsque Robert Tappan Morris, alors étudiant en informatique à l’université Cornell, souhaita comptabiliser le nombre d’ordinateurs connectés à internet. Pour sa propagation, le “Morris Worm” exploitait plusieurs vulnérabilités présentes dans les systèmes Unix, notamment une faille dans le service de messagerie « sendmail » et une autre dans le protocole « finger ». Il utilisait également des attaques par force brute pour deviner les mots de passe des comptes d’utilisateurs. Une fois installé sur un système, le worm tentait de se répliquer sur d’autres machines en scannant les réseaux connectés.

Bien que théoriquement conçu pour vérifier l’existence d’une copie de lui-même sur la machine cible, une erreur dans son code source a amené ce worm à infecter à plusieurs reprises les mêmes machines entrainant une surconsommation progressive des ressources avec un ralentissement voire une paralysie de nombre de systèmes touchés. Cet incident qui a affecté plus de 10% des 60000 terminaux connectés à l’internet en 1988 a provoqué une première prise de conscience de la nécessité de se protéger contre les cybermenaces et a conduit à la création de certaines des premières équipes de réponse aux incidents informatiques, comme le CERT.

TOP

FAMILLES DE MALWARE (%)

TOP

CATÉGORIES DE MENACES (%)

À propos du cyber threats barometer

Malwares, vulnérabilités critiques, attaques persistantes avancées, secteurs particulièrement visés, signaux faibles de menaces émergentes… Ce n’est un secret pour personne, la connaissance de son environnement cyber est un facteur clé pour la sécurité d’une entreprise. Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par Gatewatcher CTI, notre plateforme de Cyber Threat Intelligence.

Les moteurs automatisés de collecte, d’analyse et de corrélation de Gatewatcher CTI sont alimentés en permanence par plus de quatre milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, dark et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.

Demander une démo

Cyber Threats Barometer : Votre résumé mensuel des cyber-menaces vues par les analystes CTI de Gatewatcher
Deco Cta Demo