Développement des menaces informatiques au premier trimestre 2016

Contenu

Chiffres du trimestre

  • D’après KSN, les solutions de Kaspersky Lab ont déjoué 228 420 754 attaques organisées depuis divers sites répartis dans 195 pays.
  • 74 001 808 adresses Internet uniques ayant provoqué un déclenchement de l’Antivirus Internet ont été recensées.
  • Notre antivirus Internet a détecté 18 610 281 objets malveillants uniques (scripts, codes d’exploitation, fichiers exécutables, etc.)
  • Les solutions de Kaspersky Lab ont déjoué des tentatives d’exécution de malwares conçus pour voler l’argent via les systèmes de banques électroniques sur les ordinateurs de 459 970 utilisateurs.
  • Des attaques de ransomwares ont été repoussées chez 372 602 utilisateurs uniques.
  • 174 547 611 objets malveillants ou potentiellement indésirables uniques ont été recensés par notre Antivirus Fichiers.
  • Les solutions de Kaspersky Lab pour la protection des appareils mobiles ont détecté les éléments suivants :
    • 2 045 323 paquets d’installation malveillants ;
    • 4 146 trojans bancaires pour appareils mobiles ;
    • 2 896 trojans ransomwares pour appareils mobiles.

Survol de la situation

L’année 2016 commence à peine, mais le nombre d’incidents survenus en matière de cyber sécurité au cours du premier trimestre est équivalent au nombre d’incidents enregistrés au cours de 12 mois complets il y a quelques années. Toutes les tendances existantes se maintiennent, mais celles liées à la cybercriminalité traditionnelle se sont sensiblement renforcées, principalement au niveau des menaces pour les périphériques mobiles et des épidémies internationales de ransomwares.

Et ce sont précisément ces ransomwares qui ont fait l’actualité du trimestre, détrônant même les attaques ciblées. Malheureusement, cette situation va perdurer et il est probable que les ransomwares se transformeront en  » problème de l’année « .

Attaques ciblées

BlackEnergy2/3

L’événement le plus marquant aura été l’incident lié à la cyberattaque BlackEnergy lancée contre des entreprises du secteur énergétique en Ukraine. Bien qu’elle se soit produite à la toute fin de l’année dernière, ce n’est qu’après une analyse postérieure aux événements que l’attaque a pu être cernée dans toute son ampleur. De plus, les auteurs de l’attaque initiale se sont livrés à de nouvelles tentatives en 2016.

Cette attaque a été marquante en raison de ses conséquences : les pirates ont réussi à mettre hors ligne le système de distribution d’électricité en Ukraine occidentale, ils ont également exécuté l’application malveillante Wiper afin de supprimer le contenu des ordinateurs infectés et ont organisé une attaque DDoS par téléphone contre le service d’assistance à la clientèle des sociétés attaquées.

De nombreux articles ont été écrits au sujet de cette attaque, les experts de Kaspersky Lab ont même présenté différents aspects de l’activité du groupe à l’origine de cet incident, notamment une analyse de l’outil utilisé pour s’introduire dans les systèmes : un fichier DOC malveillant.

Si vous désirez en savoir plus sur cette attaque, nous vous recommandons la lecture du rapport du SANS Institute des Etats-Unis, rédigé en coopération avec ICS-CERT.

Poseidon

Au mois de février, les experts de Kaspersky Lab ont publié les détails des opérations d’un groupe de cybercriminels de langue portugaise qui avait mis sur pied la boutique d’attaques ciblées Poseidon.

Bien que ce rapport ait été présenté en 2016 seulement, ce groupe existe déjà depuis un certain temps. Des campagnes malveillantes impliquant, selon toute vraisemblance, des membres de Poseidon avaient déjà été détectées en 2005 et le premier exemplaire du malware remonte quant à lui à 2001. L’arsenal de Poseidon vise exclusivement les ordinateurs Windows : depuis Windows 95, dont le groupe s’occupait au début de sa « carrière », jusqu’à Windows 8 et Windows Server 2012 pour lesquels les versions les plus récentes du malware découvertes ont été créées.

Les scénarios des attaques changent en fonction des particularités des victimes. S’il est vrai que l’infection initiale se déroule toujours selon le même scénario, les étapes suivantes de la campagne se déroulent en fonction des particularités de chaque victime. C’est pour cette raison précise que les experts de l’équipe GReAT (équipe internationale de recherche et d’analyse) ont décidé de décrire Poseidon comme une boutique proposant des malwares personnalisés (custom-tailored malware boutique).

Une fois qu’ils se sont introduits dans le réseau de l’entreprise, les criminels explorent le réseau et volent un peu de tout pour augmenter leur niveau d’autorisation, dresser une carte du réseau ou identifier l’ordinateur qui les intéresse. En général, l’objectif principal de l’attaque est le contrôleur du domaine Windows local qui permettra aux individus malintentionnés de voler de la propriété intellectuelle, des secrets professionnels ou d’autres informations de valeur.

Développement des menaces informatiques au premier trimestre 2016

Les informations obtenues de la sorte par Poseidon étaient exploitées dans la majorité des cas pour réaliser du chantage. Les membres du groupe tentaient ainsi de forcer la victime à signer un contrat de service en matière de sécurité de l’information. Poseidon demeurait dans le réseau, que le contrat ait été signé ou non.

Hacking Team

Parmi les autres boutiques de création d’outils de cyber espionnage tristement célèbre, il faut citer la société italienne Hacking Team. Celle-ci avait été victime l’année dernière d’une cyberattaque qui s’était soldée par le vol d’une importante base de données de messages échangés entre les employés et d’une partie du code source des projets.

Après cet événement qui avait mis au jour les problèmes au sein de la société, de nombreux observateurs avaient estimé que la société éprouverait des difficultés à poursuivre son évolution Toutefois, dès le début de l’année 2016, de nouveaux modules de backdoor de Hacking Team pour OSX avaient été détectés. Cela signifie que le groupe n’a pas l’intention d’arrêter ses activités et continue à travailler sur des développements pour les systèmes d’exploitation marginaux. Par conséquent, ces  » réalisations  » continueront de poser un problème aux utilisateurs qui seront dans le collimateur des commanditaires des outils de HT.

Parmi les autres histoires liées à Hacking Team, nous pouvons évoquer notre chasse à la vulnérabilité 0day dans Silverlight. Des informations relatives à l’existence possible de cette vulnérabilité avaient été découvertes dans des documents de la société italienne. Sur la base de ce modeste volume de données, nos experts, équipés des outils Yara et VirusTotal, ont lancé l’appât et ont attendu. Et ils ont bel et bien découvert une vulnérabilité de type 0day.

Opération « Blockbuster »

Kaspersky Lab a participé à l’opération « Blockbuster » aux côtés d’autres grandes sociétés de sécurité informatique. L’objet de cette grande enquête était l’activité du Lazarus Group, un groupe d’origine présumée nord-coréenne et associé à l’attaque contre Sony Pictures qui avait défrayé la chronique en 2014.

Développement des menaces informatiques au premier trimestre 2016

Les débuts du Lazarus Group remontent à 2009, mais ce n’est qu’à partir de 2011 qu’il a été véritablement actif. Ce groupe est responsable d’attaques célèbres telles que Troy, Dark Seoul (Wiper), WildPositron. L’enquête avait permis d’identifier plus de 40 types de malwares différents développés au cours des années antérieures à l’attaque. Les cybercriminels les avaient utilisés pour attaquer plus particulièrement des entreprises, des organisations financières et des chaînes de radio et de télévision. Ils exploitaient souvent des vulnérabilités de type 0day.

Attaques contre des hôpitaux

Nous incluons dans la section consacrée aux attaques ciblées l’enquête réalisée par Serge Lozhkine qui exposait la manière dont les pirates pouvaient exploiter des outils et services accessibles au public pour s’introduire dans le réseau d’hôpitaux et accéder aux données des patients.

Malheureusement, les institutions médicales sont de plus en plus souvent victimes de ce genre d’attaque. Le premier trimestre 2016 aura été marqué par plusieurs incidents impliquant l’infection de cliniques par divers trojans & ransomwares. Suite à ces attaques, les données avaient été chiffrées et les institutions avaient dû payer une rançon pour les récupérer.

La dernière attaque en date avait visé le réseau MedStar : 10 cliniques avaient souffert des attaques. Mais d’après un communiqué officiel du réseau, les données avaient pu être récupérées sans payer la rançon exigée par les cybercriminels. Par contre, un autre hôpital de Californie avait dû payer, quant à lui, 17 000 dollars.

Cybercriminalité

Adwind

A l’occasion du Security Analyst Summit 2016 (SAS 2016) , les experts de notre équipe internationale de recherche et d’analyse (GReAT) ont présenté les détails d’une enquête menée sur l’activité du trojan d’accès à distance Adwind RAT (Remote Access Tool). Après avoir étudié l’activité du malware, les enquêteurs sont parvenus à la conclusion que même l’histoire de la création du trojan est inhabituelle.

Ce trojan a été développé sur plusieurs années et les premiers exemplaires sont apparus en 2012. Son nom a varié en fonction des époques : en 2012, les criminels vendaient leur création sous le nom de Frutas, en 2013 il avait été rebaptisé Adwind, en 2014 il était devenu Unrecom et AlienSpy et en 2015, il avait été baptisé JSocket.

Les experts du GReAT estiment qu’Adwind et toutes ses versions sont le fruit du travail d’un pirate passionné qui n’arrête pas de proposer des nouveaux modules et fonctions depuis quatre ans.

Au début, la plate-forme Adwind n’était disponible qu’en espagnol. Par la suite, elle a été dotée d’une interface en anglais, ce qui a permis aux cybercriminels du monde entier de l’évaluer. Les principaux utilisateurs de ce trojan sont des escrocs qui mènent une cyberactivité complexe, des concurrents peu scrupuleux d’une entreprise quelconque ou des mercenaires en ligne payés pour espionner des personnes et des organisations. Qui plus est, l’application Adwind peut être utilisée par n’importe quel individu qui souhaite simplement surveiller ses connaissances.

Développement des menaces informatiques au premier trimestre 2016

Du point de vue géographique, la répartition des concentrations de victimes a également changé au cours de ces quatre années. En 2013, les pays les plus touchés étaient les pays hispanophones et arabophones. L’année suivante, les criminels ont ciblé la Turquie et l’Inde, mais également les Emirats arabes unis, les Etats-Unis et le Vietnam. En 2015, la Russie a occupé la tête du classement, suivie de près par les Emirats arabes unis, la Turquie, les Etats-Unis et l’Allemagne.

Heureusement, nous pouvons affirmer que notre enquête n’aura pas été réalisée en vain : quelques jours après la publication de notre article, le site de JSocket ne fonctionnait plus et l’auteur d’Adwind avait cessé toute son activité. Depuis lors, plus aucune nouvelle variante du trojan n’est apparue. Il se peut qu’une nouvelle version du trojan fasse son apparition ou que le chapitre soit définitivement clos.

Menaces contre les banques

Lors du Security Analyst Summit (SAS 2016), Kaspersky Lab a annoncé la découverte de deux nouveaux groupes liés aux cambriolages de banques via des attaques APT : Metel et GCMAN ainsi que la reprise des activités du groupe Carbanak contre de nouvelles cibles.

En 2015, les collaborateurs de Kaspersky Lab ont enquêté sur des incidents survenus dans 29 organisations implantées en Russie et qui impliquaient ces trois groupes.

Il ne s’agit pas de la totalité des groupes criminels en Russie qui s’attaquent aux banques mais bien des trois groupes les plus actifs et impliqués dans les vols les plus retentissants, aussi bien sur les comptes des clients des banques que sur les propres comptes des banques.

L’activité de Carbanak 2.0 présente un intérêt particulier. Nous avons confirmé en décembre 2015 que le groupe était toujours actif. Kaspersky Lab avait découvert des indices de l’implication de Carbanak dans deux cas d’intrusion : le premier, dans une société de télécommunications et le deuxième, dans une organisation financière. Le groupe Carbanak 2.0 se distingue par le choix de victimes au profil différent. Le groupe ne s’intéresse plus aux banques mais vise plutôt les services chargés du budget et de la comptabilité dans les organisations qui l’intéressent. Il utilise pour ce faire tous les outils et techniques traditionnels d’une attaque APT.

Développement des menaces informatiques au premier trimestre 2016

Dans une attaque étonnante, le groupe Carbanak 2.0 a exploité l’accès à une organisation financière qui détenait des informations sur les titulaires d’actions afin de modifier les données relatives aux propriétaires d’une grande entreprise. Ces informations avaient été remplacées par les données d’une « mule ».

Bangladesh

Parmi les événements internationaux liés à des attaques contre des banques, l’histoire impliquant la Banque centrale du Bangladesh occupe une place à part. Ce qui attire l’attention ici, c’est non seulement l’objet de l’attaque (à savoir la banque centrale), mais également le montant que les individus malintentionnés ont réussi à voler, ainsi que la somme qu’ils auraient bien voulu dérober.

L’enquête est toujours en cours, mais les communiqués publiés permettent de recréer les événements. Au début du mois de février, des pirates ont pu accéder aux postes de travail de quelques employés de la banque nationale et ensuite, ils ont commencé à envoyer des ordres de transfert d’argent depuis des comptes de différentes banques, dont la Réserve fédérale de New-York. Grâce à cet accès et en se faisant passer pour de véritables employés, ils ont réussi à voler près de 80 millions de dollars. L’argent était déposé sur des comptes aux Philippines, puis blanchi via des casinos et des agents de change locaux.

20 millions de dollars supplémentaires auraient dû être versés au Sri Lanka, mais les pirates ont commis une erreur dans le nom du bénéficiaire du transfert, ce qui a éveillé les soupçons de la Deutsche Bank, la banque correspondante. Lors de l’enquête, les responsables ont constaté que les ordres de virement créés par les pirates et en attente de traitement portaient sur près de 900 millions de dollars.

Le ministre des Finances du Bangladesh a découvert l’incident un mois plus tard, via les journaux qui avaient consacrés des articles à l’affaire. Le directeur de la banque centrale a été mis à la retraite, les enquêteurs recherchent les coupables et la banque tente de récupérer ne serait-ce qu’une partie de l’argent volé.

Ransomwares

Comme nous l’avons déjà indiqué au début de ce rapport, les trojans de chiffrement ont connu une forte notoriété ce trimestre et cela pourrait bien continuer durant toute l’année.

La situation s’est détériorée quand toute personne intéressée a pu avoir accès aux codes sources des ransomwares. Par conséquent, même un script-kiddie peut créer sa propre version du trojan. Si on ajoute à cela l’utilisation des bitcoins pour le paiement des rançons, il pourra facilement organiser des attaques sans risquer d’être pris.

Qui plus est, l’expression Ransomware-as-a-Service ou RaaS (ransomware en tant que service) est déjà en circulation. Les individus proposent de payer pour propager le trojan, sous la forme d’un pourcentage de l’argent obtenu. Les clients de ces services sont principalement des webmasters de sites pornographiques. Il existe également des services qui fonctionnent selon un modèle inverse : ils proposent une gamme complète d’outils pour le fonctionnement du ransomware et se réservent une partie de la commission.

A en croire les déclarations de plusieurs sociétés, le 1er trimestre aura été marqué par des cas d’utilisation de ransomwares par différents groupes organisateurs d’attaque APT connus, majoritairement chinois. Nous avons également détecté des exemples similaires qui n’impliquaient pas que des groupes chinois. Si la tendance à l’utilisation de telles astuces se maintient, la menace passera bientôt à un autre niveau car dans la réalité, les conséquences du fonctionnement d’un ransomware se distinguent à peine des conséquences du fonctionnement d’un trojan comme Wiper. Dans les deux cas, l’utilisateur n’aura plus accès à ses données.

L’autre élément à signaler est l’extension de la zone d’action des ransomwares. Au 1er trimestre 2016, CTB-Locker a attaqué des serveurs Internet.

CTB-Locker, qui est le ransomware Onion, s’était déjà distingué des autres ransomwares par son utilisation du réseau anonyme Tor afin de protéger ses centres de commande car seuls les serveurs statiques peuvent être désactivés. Le recours au réseau Tor protégeait également le malware contre la détection et le blocage. Les exploitants de CTB-Locker se protégeaient également d’une autre manière : les paiements étaient uniquement acceptés en bitcoins, cette cryptodevise anonyme décentralisée.

La nouvelle version du malware chiffre les serveurs Web et exige une rançon inférieure à un demi bitcoin (environ 150 dollars). Si la rançon n’est pas payée dans les délais, son montant double pour atteindre environ 300 dollars. Quand la rançon a été payée, la clé de déchiffrement des fichiers du serveur Web est générée.

Toutefois, l’épidémie de ransomwares la plus importante du 1er trimestre aura été Locky (verdict de Kaspersky Lab : Trojan-Ransom.Win32.Locky).

La propagation du malware est toujours active à ce jour. Les solutions de Kaspersky Lab ont détecté des tentatives d’infection chez des utilisateurs répartis dans 114 pays.

Développement des menaces informatiques au premier trimestre 2016

Pour diffuser le trojan, les individus malintentionnés organisent des envois massifs de spams avec des downloaders malveillants en pièce jointe. Au début, les spams malveillants contenaient un fichier DOC en pièce jointe. Ce fichier renfermait une macro qui téléchargeait le trojan Locky depuis un serveur distant, puis qui l’exécutait.

La diffusion du spam malveillant se maintient. En revanche, la pièce jointe n’est plus un fichier DOC mais bien une archive zip qui contient un ou plusieurs scripts obfusqués en langage JavaScript. Les messages sont rédigés principalement en anglais, mais il existe des versions bilingues.

La nouveauté technique la plus significative dans les ransomwares est la fonction de chiffrement non pas des fichiers en tant que tels, mais de l’ensemble du disque dur. Et plus exactement, le chiffrement de la table du système d’exploitation. Cette astuce avait déjà été utilisée par le trojan baptisé « Petya » (ce qui ne signifie pas obligatoirement qu’il a été créé par des auteurs de virus russophones)

Une fois le chiffrement de la table de fichiers principale terminé, « Petya » affiche son véritable visage, à savoir un crâne dessiné à l’aide de caractères ASCII. Ensuite, la partie commune à tous les ransomwares se déroule : le trojan exige le paiement d’une rançon. Dans ce cas-ci, le montant est de 0,9 bitcoins (environ 380 dollars).

Développement des menaces informatiques au premier trimestre 2016

Ce qui distingue Petya des autres ransomwares à cette étape, c’est qu’il fonctionne sans connexion à Internet. Et cela n’a rien d’étonnant vu que Petya a lui-même dévoré le système d’exploitation et la capacité de connexion à Internet. Autrement dit, la victime doit chercher un autre ordinateur pour payer la rançon et récupérer les données.

Un nouveau ransomware pour MacOS X a été détecté en mars : il s’agit de Trojan-Ransom.OSX.KeRanger. Les attaquants ont infecté deux programmes d’installation d’un client BitTorrent du projet open source Transmission qui pouvaient être téléchargés depuis le site officiel. Selon toute vraisemblance, le site avait été compromis et les fichiers avaient été remplacés par des versions malveillantes recompilées. Le ransomware KeRanger était signé par un certificat Apple valide, ce qui lui avait permis de déjouer l’analyse de la fonction Gatekeeper.

Statistiques des trojans ransomwares

Ces ransomwares appartiennent à la catégorie Trojan-Ransom. Actuellement, cette catégorie reprend également les ransomwares de navigateur. Dans le volume global de détection de représentants de la catégorie Trojan-Ransom, les ransomwares de navigateur représentent 25 % et sont principalement détectés en Russie et dans les pays de la CEI. Cette rubrique ne sera pas consacrée aux ransomwares de navigateur, mais uniquement aux ransomwares malveillants.

Nombre de nouveaux trojans ransomwares

Le diagramme suivant illustre l’augmentation du nombre de nouvelles version de trojans ransomwares au cours des deux derniers trimestres :

Développement des menaces informatiques au premier trimestre 2016

Nombre de nouvelles modifications de ransomwares, T4 2015 et T1 2016

A l’heure actuelle, la collection de Kaspersky Lab compte près de 15 000 modifications de trojans ransomwares. Et rien qu’au cours du 1er trimestre 2016, nous avons détecté 2 900 nouvelles modifications et 9 nouvelles familles de ransomwares.

Nombre d’utilisateurs attaqués par des trojans ransomwares

Développement des menaces informatiques au premier trimestre 2016

Quantité d’utilisateurs uniques attaqués par des ransomwares, T1 2016

Au 1er trimestre 2016, les ransomwares ont attaqué 372 602 utilisateurs uniques. Le nombre d’utilisateurs attaqués a augmenté de 30 % par rapport au trimestre antérieur. Près de 17 % des attaques de ransomwares ont touché des entreprises.

Il ne faut pas oublier que les chiffres réels sont plus élevés : ces statiques tiennent compte uniquement des résultats des détections via les signatures ou la méthode heuristique alors que dans la majorité des cas, les trojans ransomwares sont détectés par les solutions de Kaspersky Lab à l’aide de méthodes basées sur le comportement qui donne le verdict général Generic. Celui-ci ne permet pas d’établir de distinction entre les types de malware.

10 des pays exposés à des attaques de trojans ransomware

Pays* % d’utilisateurs attaqués par des ransomwares**
1 Italie 3,06
2 Pays-Bas 1,81
3 Belgique 1,58
4 Luxembourg 1,36
5 Bulgarie 1,31
6 Croatie 1,16
7 Rwanda 1,15
8 Liban 1,13
9 Japon 1,11
10 Maldives 1,11

* Pour les calculs, nous avons exclu les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est inférieur à 10 000.
**Pourcentage d’utilisateurs uniques dont les ordinateur ont été attaqués par des trojans ransomwares, par rapport à l’ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

Les six premières positions du Top 10 sont occupées par des pays européens. Au 1er trimestre 2016, la première marche du podium revient à l’Italie (3,06 %) ; dans ce pays, la famille de ransomwares la plus répandue est TeslaCrypt (Trojan-Ransom.Win32.Bitman). L’Italie est suivie par les Pays-Bas (1,81 %) et la Belgique (1,58 %).

Top 10 des familles de trojans ransomwares les plus répandues

Nom Verdict* Pourcentage d’utilisateurs**
1 Teslacrypt Trojan-Ransom.Win32.Bitman/Trojan-Ransom.JS.Cryptoload 58,43%
2 CTB-Locker Trojan-Ransom.Win32.Onion/Trojan-Ransom.NSIS.Onion 23,49%
3 Cryptowall / Cryptodef Trojan-Ransom.Win32.Cryptodef 3,41%
4 Cryakl Trojan-Ransom.Win32.Cryakl 3,22%
5 Scatter Trojan-Ransom.BAT.Scatter/Trojan-Downloader.JS.Scatter/Trojan-Dropper.JS.Scatter/Trojan-Ransom.Win32.Scatter 2,47%
6 Rakhni Trojan-Ransom.Win32.Rakhni/Trojan-Downloader.Win32.Rakhni 1,86%
7 Locky Trojan-Ransom.Win32.Locky 1,30%
8 Shade Trojan-Ransom.Win32.Shade 1,21%
9 iTorLock / Troli Trojan-Ransom.MSIL.Lortok 0,84%
10 Mor / Gulcrypt Trojan-Ransom.Win32.Mor 0,78%

* Les statistiques reposent sur les verdicts détectés par les produits de Kaspersky Lab. Les informations ont été fournies par les utilisateurs des produits de Kaspersky Lab qui ont accepté de transférer des statistiques.
** Pourcentage d’utilisateurs uniques de Kaspersky Lab victimes d’attaques d’une famille concrète de trojans ransomwares, sur l’ensemble des utilisateurs ayant été victimes d’attaques de trojans ransomwares.

Au 1er trimestre 2016, la famille Teslacrypt fait la course en tête, représentée par deux verdicts : Trojan-Ransom.Win32.Bitman et Trojan-Ransom.JS.Cryptoload. Le deuxième verdict est caractéristique des scripts diffusés dans des archives ZIP via spam. Antérieurement, ces scripts téléchargeaient également des malwares comme Fareit et le ransomware Cryptowall, mais ces derniers temps, les individus malintentionnés ont opté pour TeslaCrypt. Il faut noter qu’au 1er trimestre 2016, une méthode similaire a été utilisée pour diffuser de nouvelles versions de ce ransomware dotées d’un algorithme de chiffrement amélioré : les auteurs ont abonné AES au profit de RSA-4096 plus fiable.

En 2e position, nous retrouvons la famille de ransomwares CTB-Locker (Trojan-Ransom.Win32/NSIS.Onion). Les représentants de cette famille sont généralement diffusés via des partenariats et sont disponibles en plusieurs langues. Comme nous l’avons déjà dit, une version de CTB-Locker pour serveurs a été détecté au 1er trimestre. Cette version avait réussi à attaquer et à chiffre les fichiers serveur de plus de 70 serveurs dans 10 pays.

La 3e place revient à la famille Trojan-Ransom.Win32.Cryptodef, connue également sous le nom de Cryptowall. A l’instar de TeslaCrypt, les membres de cette famille sont propagés via spam.

La famille de ransomwares Scatter occupe la 5e position. Au début de cette année, il y a eu une nouvelle vague de propagation de ce ransomware via spam. Les messages contenaient un lien vers un script JS dissimulé afin que l’utilisateur le télécharge et l’exécute localement. Le point intéressant est que l’exécution du script entraîne l’enregistrement sur le disque non seulement du ransomware Scatter, mais également de deux autres malwares : Nitol (bot de DDoS) et Pony (trojan qui vole des informations, en général des mots de passe).

La famille de ransomwares Locky, en 7e position, s’est distinguée au cours de ce trimestre par sa vaste répartition géographique, principalement en Europe. Disponible dans plus d’une vingtaine de langues, le site sur lequel les individus malintentionnés présentent leurs exigences est hébergé dans le réseau Tor. Le russe et les langues des pays de la CEI n’ont font pas partie. Cela pourrait traduire une volonté de ne pas faire de victimes dans leurs pays, ce qui est confirmé par les statistiques de KSN.

Statistiques

Toutes les données statistiques citées dans ce rapport ont été obtenues à l’aide du réseau antivirus distribué Kaspersky Security Network (KSN) suite au fonctionnement de divers composants chargés de la protection contre les malwares. Ces données proviennent des utilisateurs du KSN qui ont marqué leur accord pour l’utilisation des données. Des millions d’utilisateurs de logiciels de Kaspersky Lab répartis dans 213 pays et territoires participent à cet échange global d’informations sur l’activité des malwares.

Menaces sur les appareils mobiles

Les individus malintentionnés ne cessent de développer de nouvelles techniques pour tromper les utilisateurs. Au cours de ce trimestre, nous avons détecté deux trojans mobiles qui luttent avec les mécanismes de protection traditionnels utilisés par les systèmes d’exploitation. Une des modifications Trojan-Banker.AndroidOS.Asacub masque la fenêtre système standard de demande d’autorisation d’administrateur sur le périphérique avec sa propre fenêtre qui contient des boutons Le trojan dissimule ainsi aux yeux de l’utilisateur l’obtention d’autorisations supplémentaires dans le système et l’amène via cette ruse à confirmer ces droits. Le deuxième trojan qui utilise une méthode similaire est Trojan-SMS.AndroidOS.Tiny.aw. Dans les versions les plus récentes d’Android, lorsqu’un utilisateur envoie un SMS à un numéro surtaxé, le système demande à l’utilisateur de confirmer l’opération. Le trojan SMS Tiny affiche sa propre fenêtre de dialogue sur ce message, sans masquer les boutons du message original.

Développement des menaces informatiques au premier trimestre 2016

Fenêtre contenant la demande de Trojan-SMS.AndroidOS.Tiny.aw et qui recouvre l’avertissement du système sur l’envoi d’un SMS (traduction : envoyer la demande pour obtenir la base de données de jeu.)

La demande du trojan est formulée de telle sorte que l’utilisateur acceptera probablement d’envoyer le SMS au numéro surfacturé sans aucune idée de ce qui se passe après.

Dans le rapport sur le 3e trimestre 2015, nous avions évoqué le trojan bancaire Trojan-Banker.AndroidOS.Marcher. Au cours de ce trimestre, nous avons découvert de nouvelles modifications de Marcher qui attaquent près de 40 applications bancaires, associées à des banques européennes pour la plupart. A la différence de la majorité des autres trojans pour appareils mobiles, Marcher utilise des pages Internet de phishing pour masquer l’application bancaire et non pas ses propres fenêtres.

Nous avons observé au 1er trimestre une augmentation de l’activité du trojan ransomware Trojan-Ransom.AndroidOS.Fusob.pac qui bloque l’appareil de l’utilisateur et exige le versement d’une rançon. Au 1er trimestre, Fusob fut le trojan mobile le plus populaire de cette catégorie. Il a été impliqué dans plus de 64 % des attaques de ransomwares. Et le total des utilisateurs attaqués par des représentants de la catégorie Trojan-Ransom pour appareils mobiles a été multiplié par 1,8 par rapport au trimestre antérieur.

Nombre de nouvelles menaces pour appareils mobiles

Au 1er trimestre 2016, Kaspersky Lab a détecté 2 045 323 paquets d’installation malveillants, soit 11 fois plus qu’au trimestre précédent et 1,2 fois plus qu’au 2e trimestre 2015.

Développement des menaces informatiques au premier trimestre 2016

Quantité de paquets d’installation malveillants détectés (T2 2015 – T1 2016)

Répartition des malwares détectés par type

q1_2016_mw_fr_12

Répartition des nouveaux malwares mobiles détectés par type, 1er trimestre 2016 et 4e trimestre 2015

Les logiciels publicitaires potentiellement indésirables (AdWare) dominent le classement des objets mobiles détectables détectés au 1er trimestre 2016. La part de la catégorie Adware a progressé de 13 points de pourcentage par rapport au 4e trimestre 2015 pour atteindre 42,7 %. Signalons que ce chiffre est inférieur à la valeur atteinte au 3e trimestre 2015 (52,5 %).

En 2e position, nous retrouvons la catégorie Trojan-SMS. La part des objets détectés de ce type augmente pour la deuxième fois consécutive. Au 4e trimestre 2015, la part de Trojan-SMS dans le flux général des menaces mobiles avait sensiblement augmenté et était passée de 6,2 à 19,8 %. Au 1er trimestre 2016, elle a a gagné 0,7 point de pourcentage pour atteindre 20,5 %.

Trojan-Spy suit directement Trojan-SMS avec 10%. Ces programmes volent les données personnelles des utilisateurs, y compris les SMS (mTAN) envoyés par les banques.

La catégorie RiskTool, qui reprend des applications légitimes qui pourraient présenter un danger pour les utilisateurs, occupait toujours la 1re ou la 2e position de ce classement au cours des deux dernières années. Toutefois, à partir du 4e trimestre 2015, elle est passée en 5e position. Au 4e trimestre 2015, son indice était de 5,6 %. Il est passé à 7,4 % au 1er trimestre 2016.

La part de Trojan-Banker continue d’augmenter et au 1er trimestre 2016, elle atteignait 1,2 %.

Top 20 des malwares pour appareils mobiles

Le classement des malwares fourni ci-dessous ne reprend pas les applications potentiellement dangereuses ou indésirables comme RiskTool et les logiciels publicitaires.

Nom % d’utilisateurs attaqués*
1 DangerousObject.Multi.Generic 73,7
2 Backdoor.AndroidOS.Ztorg.c 11,3
3 Trojan.AndroidOS.Iop.c 8,9
4 Trojan.AndroidOS.Ztorg.a 8,7
5 Trojan-Ransom.AndroidOS.Fusob.pac 6,2
6 Trojan-Dropper.AndroidOS.Agent.ar 4,6
7 Trojan-Clicker.AndroidOS.Gopl.a 4,5
8 Backdoor.AndroidOS.Ztorg.b 4,3
9 Trojan.AndroidOS.Iop.m 3,7
10 Trojan.AndroidOS.Agent.ej 3,7
11 Trojan.AndroidOS.Iop.q 3,5
12 Trojan.AndroidOS.Ztorg.i 3,3
13 Trojan.AndroidOS.Muetan.b 3,1
14 Trojan.AndroidOS.Agent.gm 3,1
15 Trojan-SMS.AndroidOS.Podec.a 3,1
16 Trojan-Downloader.AndroidOS.Leech.a 3,0
17 Trojan-Dropper.AndroidOS.Guerrilla.b 2,8
18 Exploit.AndroidOS.Lotoor.be 2,8
19 Backdoor.AndroidOS.Ztorg.a 2,8
20 Backdoor.AndroidOS.Triada.d 2,4

* Pourcentage d’utilisateurs uniques attaqués par ce malware sur l’ensemble des utilisateurs du logiciel antivirus pour appareils mobiles de Kaspersky Lab attaqués.

Le verdict DangerousObject.Multi.Generic (73,7 %) occupe la tête de ce classement. Il est attribué aux malwares détectés à l’aide des technologies dans le Cloud. Ces technologies interviennent lorsque les bases antivirus ne contiennent pas encore les définitions et qu’il n’est pas possible de détecter le programme malveillant à l’aide de l’analyse heuristique, mais l’éditeur de logiciels antivirus dispose déjà d’informations relatives à l’objet sur le Cloud. En général, c’est ainsi que sont détectés les programmes malveillants les plus récents.

Les trojans qui gagnent de l’argent principalement via la publicité occupent de plus en plus de positions dans le Top 20. Leur but consiste simplement à envoyer à l’utilisateur le plus de publicités possible via différentes méthodes, dont l’installation de nouveaux logiciels publicitaires. Ces trojans peuvent exploiter des autorisations de superutilisateur pour se dissimuler dans le dossier système d’où il sera très difficile de les déloger. 16 malwares de cette catégorie figurent dans le Top 20 du 1er trimestre 2016 : trois membres des familles Backdoor.AndroidOS.Ztorg и Trojan.AndroidOS.Iop, deux des familles Trojan.AndroidOS.Ztorg, Trojan-Dropper.AndroidOS.Agent.ar, Trojan-Clicker.AndroidOS.Gopl.a, Trojan.AndroidOS.Agent.ej, Trojan.AndroidOS.Muetan.b, Trojan.AndroidOS.Agent.gm, Trojan-Downloader.AndroidOS.Leech.a, Trojan-Dropper.AndroidOS.Guerrilla.b et Backdoor.AndroidOS.Triada.d.

Backdoor.AndroidOS.Triada fait son entrée dans le Top 20 des malwares pour appareils mobiles. La fonction principale de ce trojan consiste à rediriger les transactions financières par SMS réalisées par les utilisateurs en vue d’acheter du contenu supplémentaire dans des applications légitimes. La somme payée par l’utilisateur est en réalité versée aux individus malintentionnés. Triada est le malware mobile le plus complexe que nous connaissons. Ce qui distingue vraiment ce malware, c’est l’exploitation du processus Zygote pour introduire son code dans le contexte de toutes les applications sur l’appareil. Sur l’appareil infecté, Triada s’introduit dans presque tous les processus exécutés et se maintient uniquement dans la mémoire vive. De plus, tous les autres processus du trojan lancés séparément sont masqués pour l’utilisateur et les autres applications.

Le trojan ransomware Trojan-Ransom.AndroidOS.Fusob.pac occupe la 5e position (6,2 %). Il exige de ses victimes un paiement de 200 dollars américains pour déverrouiller le périphérique. Un nombre important de ses victimes vit en Amérique du Nord (Etats-Unis et Canada), mais également en Europe (et principalement en Allemagne, en Italie, en Grande-Bretagne, en Espagne et en Suisse).

Trojan-SMS.AndroidOS.Podec.a (3 %) figure dans le Top 20 depuis plus d’un an mais il a commencé à perdre du terrain. Alors qu’il avait pris l’habitude de toujours figurer dans le Top 5 des menaces pour appareils mobiles, il s’est retrouvé dans la 2e moitié du classement au 1er trimestre 2016. Par rapport au 4e trimestre 2015, le nombre d’utilisateurs attaqués par ce trojan a été divisé par 1,7. Ces derniers temps, les fonctions de ce trojan n’ont pratiquement pas changé. La principale source de revenus demeure l’abonnement de l’utilisateur à des services payants.

On retrouve également dans le classement le code d’exploitation Exploit.AndroidOS.Lotoor.be qui est utilisé pour obtenir les autorisations locales de superutilisateur.

Répartition géographique des menaces pour appareils mobiles

q1_2016_mw_fr_11

Carte des tentatives d’infection par des malwares pour appareils mobiles au 1er trimestre 2016 (pourcentage des utilisateurs attaqués dans le pays)

Top 10 des pays par pourcentage d’utilisateurs attaqués par des malwares pour appareils mobiles :

Pays* % d’utilisateurs attaqués**
1 Chine 38,2
2 Bangladesh 27,6
3 Ouzbékistan 21,3
4 Algérie 17,6
5 Nigeria 17,4
6 Inde 17,0
7 Philippines 15,7
8 Indonésie 15,6
9 Ukraine 15,0
10 Malaisie 14,0

* Nous avons exclu du classement les pays où le nombre d’utilisateurs du logiciel antivirus pour appareils mobiles de Kaspersky Lab est relativement faible (inférieur à 10 000)
** Pourcentage d’utilisateurs uniques attaqués dans le pays par rapport à l’ensemble des utilisateurs de l’antivirus pour appareils mobiles de Kaspersky Lab dans le pays.

La Chine domine ce classement : près de 40 % des utilisateurs dans ce pays ont été confrontés à des malwares pour appareils mobiles. Pour rappel, à l’issue de l’année 2015, ce pays avait également occupé la tête de ce classement.

Dans l’ensemble des pays de ce classement, à l’exception de la Chine, ce sont les mêmes objets pour appareils mobiles qui sont détectés : des trojans publicitaires du Top 20 des malwares mobiles ainsi que des applications de type AdWare. Les trojans publicitaires sont également répandus en Chine, mais ils appartiennent à d’autres familles, principalement Backdoor.AndroidOS.GinMaster et Backdoor.AndroidOS.Fakengry. De plus, les malwares de la famille RiskTool.AndroidOS.SMSreg sont très répandus en Chine. L’utilisation inattentive de ces applications peut déboucher sur des retraits d’argent du compte mobile de l’utilisateur.

Pays les plus sûrs selon cet indicateur : Taiwan (2,9 %), Australie (2,7 %) et Japon (0,9 %).

Trojans bancaires pour appareils mobiles

Nous avons détecté au cours de la période couverte par le rapport 4 146 trojans bancaires mobiles, soit près de 1,7 fois plus qu’au trimestre antérieur.

q1_2016_mw_fr_13

Nombre de trojans bancaires détectés par Kaspersky Lab (T2 2015 – T1 2016)

q1_2016_mw_fr_14

Géographie des menaces bancaires pour appareils mobiles au 1er trimestre 2016 (nombre d’utilisateurs attaqués)

Le nombre d’utilisateurs attaqués dépend du nombre total d’utilisateurs dans le pays. Pour évaluer et comparer le risque d’infection par des trojans bancaires mobiles dans les différents pays, nous avons créé un classement des pays par pourcentage d’utilisateurs attaqués.

Top 10 des pays par pourcentage d’utilisateurs attaqués par des Trojans bancaires pour appareils mobiles

Pays* % d’utilisateurs attaqués**
1 Chine 0,45
2 Australie 0,30
3 Russie 0,24
4 Ouzbékistan 0,20
5 Ukraine 0,08
6 France 0,06
7 Biélorussie 0,05
8 Turquie 0,05
9 Japon 0,03
10 Kazakhstan 0,03

* Nous avons exclu du classement les pays où le nombre d’utilisateurs du logiciel antivirus pour appareils mobiles de Kaspersky Lab est relativement faible (inférieur à 10 000)
** Pourcentage dans le pays d’utilisateurs uniques attaqués par des Trojans bancaires pour appareils mobiles par rapport à l’ensemble des utilisateurs de l’antivirus pour appareils mobiles de Kaspersky Lab dans le pays

La Chine occupe la tête du classement pour ce trimestre. La majorité des attaques de malwares bancaires mobile a été imputable aux trojans des familles Trojab-Banker.AndroidOS.Faketoken et Trojan-Banker.AndroidOS.Svpeng. L’Australie occupe la 2e position, avec un changement au niveau des trojans les plus utilisés : avant, il s’agissait de membres de la famille Trojan-Banker.AndroidOS.Acecard, mais au 1er trimestre 2016, ils ont été devancés par des membres de la famille Trojan-Banker.AndroidOS.Marcher.

Top 10 des pays par part des utilisateurs victimes de trojans bancaires pour appareils mobiles sur l’ensemble des utilisateurs attaqués

La popularité des Trojans bancaires mobiles auprès des individus malintentionnés dans chaque pays se note au rapport entre le nombre d’utilisateurs attaqués au moins une fois au cours du trimestre et l’ensemble des utilisateurs dans ce même pays chez qui le logiciel antivirus pour appareils mobiles s’est déclenché au moins une fois. Ce classement diffère de celui présenté ci-dessus :

Pays* % d’utilisateurs attaqués**
1 Australie 13,4
2 Russie 5,1
3 Royaume-Uni 1,6
4 Turquie 1,4
5 Autriche 1,3
6 France 1,3
7 Pologne 1,2
8 Chine 1,1
9 Hong Kong 1
10 Suisse 0,9

* Nous avons exclu du classement les pays où le nombre d’utilisateurs du logiciel antivirus pour appareils mobiles de Kaspersky Lab est relativement faible (inférieur à 10 000)
** Pourcentage d’utilisateurs uniques dans le pays, attaqués par des Trojans bancaires pour appareils mobiles, par rapport à l’ensemble des utilisateurs uniques dans ce pays attaqués par des malwares pour appareils mobiles.

Pour rappel, l’Australie figure dans le trio de tête des pays affichant le plus faible pourcentage d’utilisateurs attaqués par des malwares pour appareils mobiles. Toutefois, dans ce classement-ci, l’Australie arrive en 1re position : dans ce pays, plus de 13 % de l’ensemble des utilisateurs attaqués par des malwares pour appareils mobiles ont été attaqués entre autres par des bankers mobiles. Alors que la Chine, en tête du Top 10 au trimestre antérieur, chute en dernière position. Cela signifie qu’en Chine, les individus malintentionnés préfèrent les autres types de malwares mobiles aux trojans bancaires pour appareils mobiles.

Trojans ransomwares pour appareils mobiles

Nous avons détecté au cours du 1er trimestre 2016, 2 896 trojans ransomwares pour appareils mobiles, soit près de 1,4 plus qu’au trimestre antérieur.

q1_2016_mw_fr_15

Nombre de trojans ransomwares détectés par Kaspersky Lab (T2 2015 – T1 2016)

Top 10 des pays par pourcentage d’utilisateurs attaqués par des trojans ransomwares pour appareils mobiles :

Pays* % d’utilisateurs attaqués**
1 Kazakhstan 0,92
2 Allemagne 0,83
3 Ouzbékistan 0,80
4 Canada 0,71
5 Italie 0,67
6 Pays-Bas 0,66
7 Royaume-Uni 0,59
8 Suisse 0,58
9 États-Unis 0,55
10 Espagne 0,36

* Nous avons exclu du classement les pays où le nombre d’utilisateurs du logiciel antivirus pour appareils mobiles de Kaspersky Lab est relativement faible (inférieur à 10 000)
** Pourcentage dans le pays d’utilisateurs uniques attaqués par des trojans ransomwares pour appareils mobiles par rapport à l’ensemble des utilisateurs de l’antivirus pour appareils mobiles de Kaspersky Lab dans le pays.

Dans l’ensemble des pays du Top 10, à l’exception du Kazakhstan et de l’Ouzbékistan, la famille la plus populaire est la famille Fusob, et plus particulièrement la modification Trojan-Ransom.AndroidOS.Fusob.pac (pour rappel, ce malware occupait la 5e position dans le classement des menaces pour appareils mobiles).

Au Kazakhstan et en Ouzbékistan, qui occupent respectivement la 1re et la 3e position, la menace à laquelle les utilisateurs sont le plus exposés sont les trojans ransomwares de la famille Small. Il s’agit d’un trojan ransomware assez élémentaire qui masque toutes les autres fenêtres avec la sienne, ce qui empêche toute utilisation du périphérique. En général, les individus malintentionnés exigent une rançon de 10 dollars pour débloquer l’appareil.

Applications vulnérables utilisées par les individus malintentionnés

Au 1er trimestre 2016, les codes d’exploitation pour Adobe Flash Player ont maintenu leur popularité. Au cours de ce trimestre, deux nouvelles vulnérabilités pour cette application ont été exploitées :

  • CVE-2015-8651
  • CVE-2016-1001

Angler fut le premier kit d’exploitation à prendre en charge ces vulnérabilités.

Un des événements marquants du 1er trimestre aura été l’utilisation d’un code d’exploitation pour Silverlight (CVE-2016-0034). Au moment de la publication de ce rapport, cette vulnérabilité était utilisée dans les kits d’exploitation Angler et RIG.

Comme d’habitude, certains kits d’exploitation connus contenaient un code d’exploitation pour une vulnérabilité dans Internet Explorer (CVE-2015-2419).

Le panorama de l’utilisation des codes d’exploitation au 1er trimestre ressemble à ceci :

q1_2016_mw_fr_16

Répartition, par type d’application ciblée, des codes d’exploitation utilisés par les individus malveillants dans les attaques, T1 2016

Comme il fallait s’y attendre, nous observons une réduction de la part des codes d’exploitation pour Java (- 3 points de pourcentage) et une augmentation de la fréquence d’utilisation des codes d’exploitation pour Flash (+1 point de pourcentage). On note également une augmentation sensible de la part de codes d’exploitation pour la suite logicielle Microsoft Office (+10 points de pourcentage). Ce groupe représente principalement les codes d’exploitation pour les vulnérabilités de Microsoft Word. Cette hausse sensible s’explique par une grande campagne de spam qui contenait le malware en question.

Sur l’ensemble du 1er trimestre 2016, la tendance observée depuis quelques années déjà, à savoir que les individus malintentionnés sont surtout intéressés par des codes d’exploitation pour Adobe Flash Player et Internet Explorer, se maintient. Dans notre diagramme, ce dernier entre dans la catégorie « Navigateurs » où figurent également les détections de pages d’atterrissage qui « diffusent » les codes d’exploitation.

Malwares sur Internet (attaques via des ressources Internet)

Les données statistiques présentées dans ce chapitre ont été obtenues via l’antivirus Internet qui protège les utilisateurs au moment de télécharger des objets malveillants depuis une page infectée. Les sites malveillants sont des sites créés spécialement par des individus malintentionnés ; les sites infectés peuvent être des sites dont le contenu est fourni par les internautes (par exemple, des forums) ou des ressources légitimes qui ont été compromises.

Au 1er trimestre 2016, notre Antivirus Internet a détecté 18 610 281 objets uniques (scripts, codes d’exploitation, fichiers exécutables, etc.) et enregistré 74 001 808 adresses Internet unique où l’Antivirus Internet s’est déclenché.

Menaces en ligne dans le secteur financier

Au 1er trimestre 2016, les solutions de Kaspersky Lab ont déjoué des tentatives d’exécution de malwares conçus pour dérober de l’argent via les systèmes de banques électroniques sur les ordinateurs de 459 970 utilisateurs. Nous observons un ralentissement de l’activité du côté des malwares financiers : Par rapport au trimestre antérieur (597 415), cet indice a enregistré un recul de 23,0 %. Au 1er trimestre 2015, il avait atteint 699 652 utilisateurs. En un an, le nombre de victimes a diminué de 34,26 %.

Répartition géographique des menaces pour appareils mobiles

Nombre d’utilisateurs attaqués par des malwares financiers, T1 2016.

Répartition géographique des attaques

Pour évaluer et comparer le risque d’infection par des Trojans bancaires auquel sont exposés les ordinateurs d’utilisateurs issus de différents pays, nous avons calculé pour chaque pays le pourcentage d’utilisateurs des produits de Kaspersky Lab confrontés à cette menace au cours de la période couverte par le rapport sur l’ensemble des utilisateurs de nos produits dans le pays.

Répartition géographique des menaces pour appareils mobiles

Géographie des attaques de malwares bancaires au 1er trimestre 2016
(pourcentage d’utilisateurs attaqués)

Top 10 des pays en fonction du pourcentage d’utilisateurs attaqués

Pays* % d’utilisateurs attaqués**
1 Brésil 3,86
2 Autriche 2,09
3 Tunisie 1,86
4 Singapour 1,83
5 Russie 1,58
6 Venezuela 1,58
7 Maroc 1,43
8 Bulgarie 1,39
9 Hong Kong 1,37
10 Émirats arabes unis 1,30

Ces statistiques reposent sur les verdicts détectés par l’Antivirus et transmis par les utilisateurs des produits de Kaspersky Lab qui ont accepté de partager les données statistiques.
* Pour les calculs, nous avons exclu les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est relativement faible (inférieur à 10 000).
** Pourcentage d’utilisateurs uniques de Kaspersky Lab, victimes d’attaques de trojans bancaires, sur l’ensemble des utilisateurs uniques des produits de Kaspersky Lab attaqués dans le pays.

Au 1er trimestre 2016, le Brésil a récupéré la tête du classement du nombre d’utilisateurs de Kaspersky Lab attaqués par des trojans bancaires. L’augmentation des menaces financières dans ce pays s’explique par l’apparition de trojans bancaires multiplateformes. Signalons que dans la majorité des pays du Top 10, le niveau de développement technologique et/ou du système bancaire est élevé, ce qui attire l’attention des cybercriminels.

Près de 1,58 % des utilisateurs en Russie ont été confrontés au moins une fois au cours du trimestre à des trojans bancaires (cet indice a progressé de 1 point de pourcentage par rapport au trimestre antérieur). Ce chiffre est de 0,26 % pour les Etats-Unis, 0,84 % pour l’Espagne, 0, 79% pour l’Italie, 0,52% au Royaume-Uni et 0,36% en France.

Top 10 des familles de malwares bancaires

Top 10 des familles de malwares utilisés dans le cadre d’attaques contre les utilisateurs de services de banque électronique au 1er trimestre 2016 (sur la base du nombre d’utilisateurs attaqués) :

Nom Nombre d’utilisateurs attaqués
1 Trojan-Spy.Win32.Zbot 419940
2 Trojan-Downloader.Win32.Upatre 177665
3 Trojan-Banker.Java.Agent 68467
4 Trojan-Banker.Win32.Gozi 53978
5 Trojan-Banker.Win32.BestaFera 25923
6 Trojan.Win32.Tinba 24964
7 Trojan-Banker.Win32.Banbra 22942
8 Trojan-Banker.AndroidOS.Agent 19782
9 Trojan-Banker.AndroidOS.Abacus 13446
10 Trojan-Banker.Win32.ChePro 9209

Trojan-Spy.Win32.Zbot conserve sa position de leader du classement. Sa présence continue dans le haut du classement n’a rien d’étonnant. Les Trojans de la famille Zbot figurent parmi les premiers à avoir utilisé les injections Internet pour compromettre les données de paiement des utilisateurs de systèmes de banque électronique et modifié le contenu des pages Internet de la banque. Ils utilisent plusieurs niveaux de chiffrement pour leurs fichiers de configuration et le fichier de configuration déchiffré n’est pas conservé en entier dans la mémoire, mais bien chargé en plusieurs morceaux.

Les malwares de la famille Trojan-Downloader.Win32.Upatre occupe la 2e position du classement au 1er trimestre 2016. La taille de ces Trojans ne dépasse pas 3,5 Ko et leur fonction se limite au téléchargement d’une « charge utile » sur l’ordinateur infecté. Le plus souvent, il s’agit de Trojans bancaires de la famille Dyre/Dyzap/Dyreza. La tâche principale des Trojans bancaires de cette famille est le vol des données de paiement de l’utilisateur. Pour ce faire, Dyre intercepte les données de la session bancaire entre le navigateur de la victime et l’application Internet de banque électronique. En d’autres termes, il utilise la technique dite de man-in-the-middle (MITB).

Il faut noter que l’écrasante majorité des malwares du Top 10 utilise la technique d’injection d’un code HTML arbitraire dans la page affichée par le navigateur et d’interception des données de paiement saisies par les utilisateurs dans les formulaires en ligne originaux et de substitution.

Le Top 3 des menaces au 1er trimestre 2016 contient un malware bancaire multi plate-forme programmé en Java. Les cybercriminels brésiliens ont commencé à utiliser activement les trojans Java multi plates-formes. De plus, les experts de Kaspersky Lab ont découvert un nouveau malware, programmé également en Java, et qui sert à voler des informations financières : Adwind RAT. Adwind a été entièrement programmé en Java, ce qui signifie qu’il peut attaquer toutes les plates-formes les plus utilisées : Windows, Mac OS, Linux et Android. Le malware permet aux individus malintentionnés de récolter des données dans le système et de les extraire, mais également d’administrer à distance le périphérique infecté. Actuellement, ce malware est capable de réaliser des captures d’écran, d’enregistrer les frappes au clavier, de voler les mots de passe et les données enregistrées dans les navigateurs et les formulaires en ligne, de prendre des photos et d’enregistrer des vidéos via la webcam, de réaliser des enregistrements audio via le microphone du périphérique, de récolter les données générales relatives à l’utilisateur et au système, de voler des certificats VPN ainsi que les clés des portefeuilles de cryptodevises et enfin, d’administrer les SMS.

Le trojan bancaire Trojan-Banker.Win32.Gozi a fait son entrée dans le Top 10 en 4e position. Il exploite une technique d’insertion dans les processus de travail des navigateurs les plus utilisés pour voler les informations de paiement. Certains exemplaires de ce trojan peuvent infecter le MBR et maintenir leur présence dans le système d’exploitation, même si celui-ci est réinstallé.

Gootkit, l’un des représentants étranges de malware de vol de données financières ne figure pas dans le Top 10. Ce qui le rend intéressant, c’est qu’il a été programmé à l’aide de la plate-forme NodeJS. Gootkit possède une architecture modulaire L’interprète du code du malware se trouve dans son corps, ce qui lui donne une taille impressionnante (environ 5 Mo). Pour voler les données de paiement, Gootkit utilise l’interception du trafic HTTP et l’insertion dans le navigateur. Parmi les fonctions standard du trojan, on retrouve l’exécution de commandes arbitraires, la mise à jour automatique et les captures d’écran. Ceci étant dit, ce trojan bancaire n’est pas beaucoup utilisé.

Pays source des attaques Internet : Top 10

Les données statistiques illustrent la répartition des sources d’attaque Internet bloquées par les solutions de Kaspersky Lab sur les ordinateurs des utilisateurs (pages Internet avec redirections vers des codes d’exploitation, des sites hébergeant des codes d’exploitation et d’autres malwares, centres de commande de réseaux de zombies, etc.) Signalons que chaque hôte unique peut être la source d’une ou de plusieurs attaques.

Pour définir la source géographique des attaques Internet, nous avons utilisé une technique de comparaison du nom de domaine et de l’adresse IP authentique sur laquelle se trouve ce domaine et la définition de l’emplacement géographique de cette adresse IP (GEOIP).

Au 1er trimestre 2016, les solutions de Kaspersky Lab ont repoussé 228 420 754 attaques organisées depuis des ressources Internet réparties dans 195 pays. 76% des notifications relatives aux attaques Internet bloquées ont été obtenues suite à des tentatives d’attaques émanant de dix pays.

q1_2016_mw_fr_19

Répartition par pays des sources d’attaques Internet, T1 2016

Par rapport au trimestre antérieur, les Etats-Unis (21,44 %) et les Pays-Bas (24,6 %) ont permuté. Les suivants du classement, à savoir la Russie (7,45 %) et l’Allemagne (6 %), ont fait de même. Le Vietnam a quitté le Top 10 et est remplacé par la Bulgarie qui occupe la 8e position avec 1,75 %.

Pays dont les internautes ont été le plus exposés au risque d’infection via Internet

Pour évaluer le risque d’infection via Internet auquel sont exposés les ordinateurs des utilisateurs dans différents pays, nous avons calculé dans chaque pays le pourcentage d’utilisateurs des produits de Kaspersky Lab qui ont été confrontés à des déclenchements de l’Anti-Virus Internet au cours de la période couverte par le rapport. Les données obtenues indiquent le degré d’agressivité de l’environnement dans lequel les ordinateurs fonctionnent dans les divers pays.

Pays* % d’utilisateurs uniques**
1 Russie 36,28
2 Kazakhstan 33,19
3 Chine 32,87
4 Azerbaïdjan 30,28
5 Ukraine 29,96
6 Biélorussie 29,16
7 Slovénie 26,88
8 Arménie 26,27
9 Viet Nam 25,14
10 Moldavie 24,68
11 Kirghizstan 24,46
12 Espagne 24,00
13 Inde 23,98
14 Brésil 23,68
15 Italie 22,98
16 Algérie 22,88
17 Lituanie 22,58
18 Croatie 22,04
19 Turquie 21,46
20 France 21,46

Ces statistiques reposent sur les verdicts détectés par l’Antivirus Internet et transmis par les utilisateurs des produits de Kaspersky Lab qui ont accepté de partager les données statistiques.

* Pour les calculs, nous avons exclu les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est inférieur à 10 000.
**Pourcentage d’utilisateurs uniques exposés à des attaques sur Internet, sur l’ensemble des utilisateurs uniques des produits de Kaspersky Lab dans le pays.

Le leader de notre classement reste inchangé par rapport au trimestre précédent : il s’agit une fois de plus de la Russie (36,3 %). Par rapport au trimestre précédent, le Chili, la Mongolie, la Bulgarie et le Népal ont quitté le Top 20. Nouvelles entrées du classement : Slovénie (26,9 %), Inde (24 %) et Italie (23 %).

Répartition géographique des menaces pour appareils mobiles

Parmi les pays où la navigation sur Internet présente le moins de risques, citons l’Allemagne (17,7 %), le Canada (16,2 %), la Belgique (14,5 %), la Suisse (14 %), les Etats-Unis (12,8 %), la Grande-Bretagne (12,7 %), Singapour (11,9 %), la Norvège (11,3 %), le Honduras (10,7 %), les Pays-Bas (9,6 %) et Cuba (4,5 %).

Au cours du trimestre, une moyenne de 21,2% des ordinateurs des Internautes au monde ont été exposés au moins une fois à une attaque Internet. Par rapport au 4e trimestre 2015, cet indice a enregistré un recul de 1,5 point de pourcentage.

Menaces locales

Les statistiques relatives aux infections locales des utilisateurs sont un indicateur important. Elles reprennent les objets qui sont parvenus sur un ordinateur via l’infection de fichiers ou de disques amovibles, ou les objets qui sont arrivés sur l’ordinateur de manière dissimulée (par exemple, des programmes au sein de programmes d’installation complexes, des fichiers chiffrés, etc.)

Ce chapitre est consacré à l’analyse des données statistiques obtenues sur la base du fonctionnement de l’antivirus qui analyse les fichiers sur le disque dur lors de leur création ou lorsqu’ils sont sollicités ainsi que les données tirées de l’analyse de divers disques amovibles.

174 547 611 objets malveillants ou potentiellement indésirables uniques ont été recensés par notre Antivirus Fichiers au 1er trimestre 2016.

Pays où les ordinateurs des utilisateurs ont été le plus exposés au risque d’infection locale

Pour chacun des pays, nous avons calculé le pourcentage d’utilisateurs des produits de Kaspersky Lab qui ont été confrontés au déclenchement de l’Antivirus Fichiers au cours de la période couverte par le rapport. Ces statistiques indiquent le degré d’infection des ordinateurs dans différents pays.

Top 20 des pays en fonction du degré d’infection des ordinateurs

Pays* % d’utilisateurs uniques**
1 Somalie 66,88%
2 Yémen 66,82%
3 Arménie 65,17%
4 Kirghizstan 64,45%
5 Russie 64,18%
6 Tadjikistan 64,06%
7 Bangladesh 63,60%
8 Viet Nam 61,31%
9 Afghanistan 60,72%
10 Kazakhstan 60,62%
11 Népal 59,60%
12 Ouzbékistan 59,42%
13 Éthiopie 59,23%
14 Ukraine 58,90%
15 Biélorussie 58,51%
16 Laos 58,46%
17 Rwanda 58,10%
18 Irak 57,16%
19 Algérie 57,15%
20 Moldavie 56,93%

Ces statistiques reposent sur les verdicts détectés par les modules OAS et ODS de l’antivirus et transmis par les utilisateurs des produits de Kaspersky Lab qui ont accepté de partager les données statistiques. Nous avons également comptabilisé les malwares découverts directement sur les ordinateurs des utilisateurs ou sur des lecteurs amovibles (clés USB, carte mémoire d’appareil photo ou de téléphone, disque amovible) connectés aux ordinateurs.

* Pour les calculs, nous avons exclu les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est inférieur à 10 000.
**Pourcentage d’utilisateurs uniques sur les ordinateurs desquels des menaces locales ont été bloquées, par rapport à l’ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

Le leader du classement a changé au 1er trimestre 2016 : il s’agit désormais de la Somalie avec 66,9 %. Le Bangladesh, leader des trimestres antérieurs, se retrouve en 7e position (63,6 %). Nouvelles entrées dans le classement par rapport au trimestre antérieur : Ouzbékistan en 12e position (59,4 %), Ukraine en 14e position (58,9 %), Biélorussie en 15e position (58,5 %), Irak en 18e position (57,2 %) et Moldavie en 20e position (57,0 %).

Répartition géographique des menaces pour appareils mobiles

Pays présentant le niveau d’infection le plus bas : République tchèque (27,2 %), Danemark (23,2 %) et Japon (21,0 %).

En moyenne à travers le monde au 1er trimestre, des menaces locales ont été détectées au moins une fois sur 44,5 % des ordinateurs des utilisateurs, soit une augmentation de 0,8 point de pourcentage par rapport au 4e trimestre 2015.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *