Prague, République tchèque, 5 mai 2022 — Avast (LSE:AVST), leader mondial des solutions de sécurité et de protection de la confidentialité en ligne, publie ce jour son Rapport des menaces du premier trimestre 2022, qui pointe des cybermenaces en lien avec le conflit qui oppose la Russie à l’Ukraine. Cette étude braque les projecteurs sur plusieurs événements : un groupuscule APT qui serait d’origine russe s’en prend à des utilisateurs basés en Ukraine, des outils DDoS sont exploités pour contrer des sites russes, tandis que des attaques par rançongiciels ciblent des entreprises en Ukraine. Il en ressort par ailleurs que des gangs cybercriminels sont affectés par le conflit armé, entraînant un léger déclin des rançongiciels en circulation et l’interruption temporaire du programme Raccoon Stealer, conçu pour dérober des informations.
En France, nous avons observé une augmentation de 58 % du cryptomining (entre le dernier trimestre 2021 et le premier trimestre 2022). Cela est principalement dû à la tendance continue et croissante à utiliser divers mineurs Web exécutant du code javascript dans le navigateur de la victime.
Nous avons aussi observé des pics d'escroqueries au support technique ciblant les utilisateurs en France à la fin du premier trimestre 2022.
« Il y a souvent des parallèles entre ce qui se passe dans le monde réel et le paysage des menaces au niveau de leur mode de propagation et de leurs cibles. Au premier trimestre 2022, nous avons noté une hausse significative des attaques utilisant un type spécifique de programme malveillant (malware) dans les pays impliqués dans le conflit. Comparé au quatrième trimestre 2021, il y a eu une hausse de plus de 50 % du volume d’attaques par chevaux de Troie d’accès à distance (RAT) et une hausse de plus de 20 % de celles exploitant des programmes de vol d’informations, que nous avons bloquées en Ukraine, Russie et au Bélarus. Tous ces malwares sont exploités pour récupérer des informations ou à des fins d’espionnage », explique Jakub Kroustek, Directeur des études sur les malwares chez Avast. « Nous avons également bloqué 30 % de tentatives de corruption d’appareils dans un but de ralliement à des botnets en Russie, avec une hausse de 15 % en Ukraine. L’objectif des pirates est de constituer des armées d’appareils capables d’orchestrer des attaques DDoS ciblant des médias, des sites web et des infrastructures critiques. D’un autre côté, nous avons constaté une baisse des tentatives d’attaques par logiciels publicitaires (adwares) mobiles puisque nous en avons bloqué 50 % de moins en Russie et en Ukraine, la raison possible étant qu’il y a moins de personnes connectées, surtout en Ukraine. »
Juste avant le début de la guerre avec l’Ukraine, le laboratoire des menaces d’Avast a repéré plusieurs cyberattaques, supposément lancées par des groupuscules APT russes. L’activité de l’un d’eux, Gamaredon, a augmenté rapidement dès la fin février en diffusant ses malwares auprès d’une large audience comprenant des consommateurs, en quête de victimes intéressantes à des fins d’espionnage. Un rançongiciel (ransomware) appelé HermeticRansom, a été mis en circulation sans doute par un groupuscule APT ; Avast a mis à disposition un outil de déchiffrement des données pour le contrer.
Les experts d’Avast ont suivi de près les outils proposés par des communautés d’hacktivistes pour lancer des attaques DDoS contre des sites web russes offensifs. Les chercheurs ont repéré des pages web, parmi lesquelles celles d’un site de prévisions météo, qui contenaient dans leurs lignes le code permettant de perpétrer ces attaques en se servant du navigateur de l’utilisateur, sans son consentement. Ce type d’attaques a connu un déclin vers la fin du trimestre. Un botnet vendu comme un service fut utilisé pour une campagne DDoS en mars, en lien avec le groupuscule Sodinokibi (REvil) spécialiste des rançongiciels. En outre, les auteurs de malware se sont servis de la guerre pour diffuser leurs programmes, notamment des chevaux de Troie d’accès à distance (RAT) envoyés en pièce jointe de mails contenant prétendument des informations importantes au sujet du conflit armé.
Les auteurs et exploitants de malware ont été directement affectés par la guerre, qui aurait causé la mort d’un développeur majeur du programme Raccoon Stealer. Avec pour effet d’interrompre temporairement la distribution de ce logiciel qui vole des informations.
Les experts du laboratoire des menaces d’Avast ont également noté la baisse légère (-7 %) des attaques par rançongiciels dans le monde entier au premier trimestre 2022, comparé au quatrième trimestre 2021. Un phénomène imputé à la guerre en Ukraine, d’où sont originaires de nombreux exploitants de rançongiciels et leurs affiliés. Le nombre d’attaques avec demande de rançon a ainsi enregistré une baisse pour le second trimestre consécutif. Au quatrième trimestre 2021, cette baisse est attribuée à la collaboration entre nations, agences gouvernementales et fournisseurs de logiciels de sécurité, qui ont ensemble traqué les auteurs et exploitants de rançongiciels. Les autres causes possibles de ce déclin peuvent être, primo, l’arrêt des activités en février du groupuscule Maze, l’un des plus actifs et fructueux en matière de rançongiciels ; deuzio, la tendance confirmée de gangs spécialistes des rançongiciels qui se focalisent désormais sur des cibles précises de plus grande envergure au lieu de la stratégie de « l’arrosage ».
Le conflit armé a provoqué un schisme au sein du gang Conti, spécialiste des rançongiciels. Un chercheur ukrainien a fait fuiter des fichiers internes révélant les agissements du groupe et des portions de code source de son rançongiciel après sa prise de position pro-russe. Des membres du groupe ont en effet fait allégeance à la Russie, promettant de lancer des attaques avec rançongiciels à quiconque s’en prendrait à leur pays. Avec ces fuites, la diffusion des programmes malveillants de Conti a temporairement diminué.
Le Mexique, le Japon et l’Inde sont des exceptions, puisque les utilisateurs y ont vu leurs probabilités de rencontrer un rançongiciel augmenter respectivement de 120 %, 37 % et 34 % au premier trimestre 2022 comparé au quatrième trimestre 2021.
Les experts d’Avast ont noté le doublement des parts de marché du botnet Emotet au cours du premier trimestre, avec une hausse significative des tentatives d’infection en mars. De plus, un TDS (système de direction du trafic) baptisé Parrot TDS a été repéré, diffusant des campagnes malintentionnées via 165 000 sites infectés. Le rapport des menaces d’Avast contient également un résumé de l’enquête effectuée par ses experts, qui leur a permis de comprendre le modus operandi de Meris, l’un des plus grands botnets. Celui-ci, qui est constitué de plus de 230 000 appareils MikroTik vulnérables connectés en réseau, a servi de tremplin pour de nombreuses attaques de grande ampleur ces dernières années.
Du côté des appareils mobiles, les pirates ont changé de tactique pour diffuser des logiciels publicitaires et piéger leurs victimes avec des arnaques au SMS surtaxé, qui continuent de foisonner. Si la plate-forme de téléchargement Google Play Store a servi par le passé de tremplin, des pirates utilisent désormais des fenêtres pop-up et notifications de navigateurs pour diffuser leurs applications malveillantes auprès du grand public.
Le Rapport des menaces d’Avast couvrant le premier trimestre 2022 est disponible en intégralité (en anglais), sur le blog Avast Decoded : https://decoded.avast.io/threatresearch/avast-q1-2022-threat-report/