Kaspersky Security Bulletin 2010. Spam en 2010

  1. Kaspersky Security Bulletin 2010. Développement des menaces en 2010
  2. Kaspersky Security Bulletin 2010. Principales statistiques pour 2010
  3. Spam en 2010

Kaspersky Lab analyse près de 1,5 millions de messages non sollicités par jour. Le matériel analysé provient de pièges spéciaux mis en place et de prélèvements dans les flux de messages non sollicités reçus par nos clients et partenaires. Tout message non sollicité est classé automatiquement. Une partie de ce trafic est également analysée manuellement. Le répertoire unique du courrier indésirable permet d’étudier la répartition thématique et quantitative des messages non sollicités.

Lutte contre le courrier indésirable et la diffusion de programmes malveillants en 2010

L’année 2010 aura été révolutionnaire dans la lutte contre le courrier indésirable. On retiendra surtout les victoires remportées par les autorités judiciaires de plusieurs pays dans la lutte contre la cybercriminalité, notamment au niveau de la diffusion du courrier indésirable.

Les centres de commande de réseaux de zombies impliqués dans la diffusion de courrier indésirable tels que Waledac, Pushdo/Cutwail, Lethic et Bredolab ont été mis hors service. Ddes individus soupçonnés d’avoir commis des cybercrimes ont été jugés et le partenariat de diffusion de courrier indésirable SpamIt a été démantelé. Ces événements ont entraîné des modifications au niveau des principales sources géographiques du courrier indésirable, ainsi que dans sa composition thématique. C’est ainsi qu’à la fin de l’année, la quantité de courrier indésirable diffusée depuis les États-Unis a connu une réduction sans précédent tandis que le volume de messages non sollicités envoyés depuis l’
Europe de l’Est a augmenté. Pour la première fois depuis que nous observons le phénomène, nous constatons une réduction prolongée des messages non sollicités dans le trafic de messagerie. Cependant il y a un revers à la médaille car le courrier indésirable est devenu beaucoup plus dangereux.

Nous avons déjà évoqué la criminalisation du courrier indésirable, son délaissement par les petites et moyennes entreprises pour devenir de plus en plus souvent un outil pour les escrocs et les vendeurs de produits faux ou illégaux. En 2010, le courrier indésirable aura aussi été à l’origine d’un grand nombre d’attaques malveillantes : en un an, le nombre de pièces jointes malveillantes détectées dans le courrier a été multiplié par 2,6.

Courrier indésirable malveillant

En 2010, la part de messages malveillants dans le courrier a atteint 2,2 % (en 2009, cet indice n’était que de 0,85 %). Au mois d’août, qui aura été le pic des attaques, 6,29 % de l’ensemble des messages contenaient des pièces jointes malveillantes. Il se peut que ce soit précisément ces attaques en masse qui aient attiré l’attention des autorités judiciaires sur le courrier indésirable.

Les méthodes les plus efficaces pour la diffusion du courrier indésirable ont été exploitées dans la diffusion de programmes malveillants. Les messages copiaient le style des notifications envoyées par des sites fréquentés (réseaux sociaux, boutiques en ligne, banques, services d’hébergement) et appliquaient les principes de l’ingénierie sociale. L’utilisateur qui cliquait sur un lien dans ces messages était redirigé vers un site faisant la publicité du Viagra, mais aussi vers un site malveillant.

Vers la fin de l’année, le vecteur des attaques des diffuseurs de courrier indésirable malveillant a changé : le nombre d’internautes de pays en développement parmi les destinataires des messages malveillants a augmenté. Cette tendance s’explique probablement par la lutte active menée contre les réseaux de zombies aux États-Unis et dans les pays d’Europe occidentale. Les cybercriminels ont alors choisi d’élargir leurs réseaux de zombies vers des comptes d’utilisateurs vivant dans des pays où les autorités judiciaires ne s’intéressent pas encore assez à la lutte contre la cybercriminalité.

Réseaux de zombies : chronologie d’un démantèlement annoncé

Le réseau de zombies Lethic a été fermé au début du mois de janvier 2010. Malheureusement, cette intervention n’a pratiquement eu aucun effet sur le volume du courrier indésirable et dès février, Lethic avait repris du service.

Ala fin du mois de février, 277 domaines liés au système d’administration du réseau de zombies Waledac furent fermés et au cours de la première quinzaine du mois de mars, nous avons noté une réduction de 3,1 % du courrier indésirable dans le trafic de messagerie. Malheureusement le nombre de courrier indésirable allait retrouver son niveau antérieur au mois de mai.

Le mois d’août fut marqué par la mise hors service de près de 20 centres de commande du réseau de zombies Pushdo/Cutwail, responsable selon les estimations, de 10 % du courrier indésirable mondial. Conséquence : le volume de courrier indésirable au mois de septembre enregistra une baisse de 1,5 % par rapport au mois d’août.

C’est le 25 octobre que le coup le plus marquant a été porté aux diffuseurs de courrier indésirable : ce jour-là, 143 centres de commande du réseau de zombies Bredolab ont été mis hors service. Selon la police néerlandaise, ce réseau de zombies comptait lors de la fermeture de ces centres de commande, près de 30 millions d’ordinateurs à travers le monde. Ce réseau de zombies diffusait du courrier indésirable faisant la publicité de médicaments ainsi que toute une gamme de programmes malveillants. Ce type de courrier indésirable, qui associe publicité pour des médicaments et l’infection des ordinateurs par des programmes malveillants, a fait l’objet d’une description détaillée dans notre rapport sur le troisième trimestre 2010.

Le démantèlement du réseau de zombies Bredolab a eu un effet sensible sur le volume de messages non sollicités dans le courrier. Dès sa fermeture, la part de courrier indésirable a chuté de 8 à 9 % environ mais le trafic s’est rétabli par la suite. Néanmoins, l’indice moyen d’octobre s’est maintenu à un niveau bas : 77,4 % soit 3,6 % de moins qu’au mois de septembre. Les succès remportés dans la lutte contre les réseaux de zombies ont provoqué une réduction du courrier indésirable malveillant, ainsi qu’une réduction sans précédent de la part de courrier indésirable envoyé depuis les États-Unis (de 15,5 % en août à 1,6 % au en octobre).

La fermeture des centres de commande du réseau de zombies Bredolab fut organisée conjointement par le groupe national d’intervention rapide face aux incidents informatiques (Computer Emergency Readiness Team ou CERT), la section spéciale de la police néerlandaise, les experts en sécurité des réseaux et les hébergeurs chez qui ces serveurs ont été découverts. Au lendemain de cette opération, un des propriétaires du réseau de zombies désactivé était arrêté à l’aéroport international d’Erevan. Les utilisateurs des ordinateurs figurant dans ces réseaux de zombies qui ont put être identifiés ont reçu une notification relative à l’infection ainsi que des instructions pour la purge des ressources.

Il faut aussi signaler qu’avant la fermeture des réseaux de zombies, Bredolab chargeait, sur les ordinateurs des utilisateurs, des bots de courrier indésirable tels que Rustock (Backdoor.Win32.HareBot) et Pushdo (Backdoor.Win32.NewRest.aq). Le réseau de zombies pour courrier indésirable Pushdo, quant à lui, était le principal diffuseur de Backdoor.Win32.Bredolab.

Courrier indésirable et législation

L’arrestation du propriétaire du réseau de zombies Bredolab n’aura pas été le seul exemple cette année de poursuites judiciaires à l’encontre de diffuseurs de courrier indésirable.

Plusieurs membres d’un groupe qui diffusait le programme malveillant ZeuS, souvent à l’aide de courrier indésirable, ont été arrêtés au mois de septembre. Ces arrestations ont été suivies d’une réduction sensible du nombre d’infections d’ordinateurs par ce programme.

Au mois d’octobre, les autorités judiciaires se sont intéressées aux programmes de partenariat spécialisé dans le courrier indésirable pharmaceutique. Le partenariat SpamIt, un des principaux partenariats au monde dans la vente de médicaments, fut démantelé le 1e octobre et à la fin du mois, les enquêteurs de la direction des affaires intérieures du district central de Moscou inculpaient Igor Guseev, le directeur général de Despmedia. Il est accusé d’avoir vendu de faux médicaments, y compris du Viagra, aux États-Unis, au Canada et dans d’autres pays. La publicité pour ces médicaments était diffusée dans des messages non sollicités diffusés via les canaux du partenariat Glavmed.com (dont le programme SpamIt, selon certains, ferait partie). Comme vous le savez, la diffusion de courrier indésirable n’est pas punissable en Russie et il n’existe d’ailleurs pas de définition juridique du concept de « courrier indésirable ». Igor Guseev a été inculpé d’entreprise illégale ayant enregistrée d’importants bénéfices au regard du paragraphe 171, alinéa 2 du code pénal russe.Selon les données de l’enquête, Glavmed.com aurait réalisé un chiffre d’affaires de 120 millions de dollars américains au cours des 3dernières années.

Oleg Nikolayenko, accusé d’avoir diffusé des courriers indésirables à travers le réseau de zombies Mega-D, dont les centres de commandes avaient été démantelés en novembre 2009, a été arrêté à Los Angeles au début du mois de décembre. Oleg Nikolayenko a été « trahi » par l’australien Lance Atkinson, un des fondateurs d’Affking (partenariat spécialisé dans la diffusion de publicités pour des copies de Rolex et des faux médicaments), jugé au mois de décembre de l’année dernière. Les enquêteurs pensent qu’après la fermeture du réseau de zombies Mega-D et du programme Affking, Oleg Nikolayenko a continué à diffuser du courrier indésirable en tant que membre actif du partenariat Spamit. Oleg Nikolayenko est en détention préventive en attendant le début du jugement prévu pour le 11 février au plus tard. Il n’a pour l’instant rien avoué.

Trois personnes soupçonnées d’avoir diffusé un programme malveillant ont été arrêtées le 7 décembre à Taganrog. Elles sont accusées de s’être introduites de force dans plusieurs centaines d’ordinateurs grâce au courrier indésirable, de les avoir infectés à l’aide de virus et d’avoir obtenu un accès non autorisé à ces ordinateurs. Si le ministère public parvient à démontrer la culpabilité des accusés, ils pourraient être condamnés à trois années de détention.

Suite à ces nombreuses arrestations et accusations en rapport avec le courrier indésirable, la Douma, en collaboration avec l’Association russe de la communication électronique, a commencé à se pencher sur des amendements à la législation fédérale sur la protection des informations. Parmi les modifications, il est prévu d’introduire dans cette loi une définition du concept de courrier indésirable et de durcir les peines pour la diffusion de messages non sollicités. Il faut signaler que ce n’est pas la première fois qu’une telle initiative arrive à la Douma. Déjà en 2004, certains députés souhaitaient d’amender la législation correspondante et d’établir une responsabilité pénale pour la diffusion de messages non sollicités. Il n’y a plus qu’à espérer que cette fois-ci, les députés iront au bout de leur action. Mais pour l’instant, nous ne savons rien des délais ou des résultats de ces initiatives. Les représentants de l’Association russe de la communication électronique ont indiqué que l’association ne travaille pas pour l’instant sur des amendements concrets aux textes de loi, mais se penche sur le code d’éthique professionnel sur Internet proposé par l’association.

Le courrier indésirable en mouvement

Les événements évoqués ci-dessus (démantèlement de centres de commande de réseaux de zombies, fermeture du partenariat Spamit et poursuites judiciaires à l’encontre de diffuseurs de courrier indésirable) ont eu un impact sur la structure et le caractère du courrier indésirable observé dans les flux de messagerie. Le volume de message non sollicité a reculé et il y a eu des changements dans la liste des pays d’où les plus gros volumes de courrier indésirable sont diffusés.

Part du courrier indésirable dans le trafic de messagerie


Part du courrier indésirable dans le trafic de messagerie

Ce graphique illustre la concentration de la part de messages non sollicités dans le courrier en 2010. Un recul est particulièrement perceptible en automne, période qui correspond à la fermeture des centres de commande des importants réseaux de zombies Pushdo/Cutwail et Bredolab, au démantèlement du partenariat SpamIt et aux procès à l’encontre de plusieurs diffuseurs de courrier indésirable.

Cela fait plusieurs années que le volume de courrier indésirable n’était jamais resté à un niveau aussi bas. Cette situation est semblable à celle rencontrée en 2008 suite à la fermeture du tristement célèbre hébergeur McColo (il hébergeait les centres de commande de plusieurs réseaux de zombies) qui avait été suivie, pendant un mois, d’une réduction du volume de messages non sollicités dans le courrier (73,7 %). Il est impossible de dire combien de temps cette accalmie va durer. Toutefois, la pratique nous montre qu’il ne faut pas s’attendre à ce qu’un niveau aussi faible de courrier indésirable se maintienne dans le courrier l’année prochaine. Les auteurs de virus peuvent organiser de nouveaux réseaux de zombies et ils choisiront pour cela des pays dans lesquels les lois contre la cybercriminalité sont quasi inexistantes. Cette hypothèse est indirectement confirmée par le fait qu’en novembre une part importante de messages non sollicités a été envoyée en Russie, en Inde et au Viet Nam (respectivement 8,6 %, 6,8 % et 6,5 % ), tandis que la part de messages non sollicités reçus par les utilisateurs aux États-Unis et en Europe de l’Ouest a considérablement diminué.

En 2010, le volume le plus important de courrier indésirable en 2010 a été enregistré le 21 février (90,8 %), et le volume le plus faible a été enregistré le 28 octobre (70,1 %). En 2010, la part des messages non sollicités a représenté en moyenne près de 82,2% du volume du courrier.

Pays, source du courrier indésirable

Répartition des sources de courrier indésirable par région

Sujets du courrier indésirable


Part du courrier indésirable de la rubrique « Médicaments ; produits et services pour la santé en 2010 »

À partir du mois de septembre, les diffuseurs de courrier indésirable qui faisait la publicité de produits pharmaceutiques se sont intéressés à d’autres partenariats. Il suffit de voir les augmentations passagères de différents types de partenariats, notamment pour la publicité de casinos en ligne et de contenu pornographique.

La fermeture de réseaux de zombies et d’importants partenariats ne pouvait pas ne pas avoir d’impact sur le rapport entre le courrier indésirable de partenariat et le courrier indésirable commandité. Au mois d’août, la part de courrier indésirable diffusé dans le cadre de partenariats a fortement augmenté et elle a commencé à diminuer à partir de septembre.

Méthodes et trucsutilisés dans les messages non sollicités

Au cours de cette année, ce sont les diffuseurs de programmes malveillants qui ont utilisé les méthodes les plus intéressantes. Afin d’amener l’utilisateur à cliquer sur un lien malveillant, ils ont diffusé des messages non sollicités qui reproduisaient très fidèlement le design et le style des notifications d’institutions de renom telles que des banques, des magasins, des fournisseurs de service de messagerie, des réseaux sociaux, des hébergeurs et bien d’autres (vous trouverez ici de plus amples informations sur ce type de messages non sollicités). Les en-têtes techniques des messages, invisibles à l’utilisateur mais indispensables au filtre anti-spam, étaient également falsifiées.

En général, une attaque de phishing vise à faire peur à l’utilisateur, à jouer sur ses craintes afin de l’amener à saisir un nom d’utilisateur et un mot de passe sur la page mise en place par l’auteur de l’attaque. Bien que les diffuseurs de programmes malveillants, à l’instar des auteurs d’attaques de phishing, aient envoyés de faux messages au nom d’entités légitimes, ils n’ont pas joué sur les craintes des utilisateurs. Une partie des messages était une simple copie des notifications standard envoyées aux utilisateurs/clients de ces ressources légitimes.

Pièces jointes malveillantes dans les messages non sollicités

En 2010, 2,2 % des messages électroniques contenaient des fichiers malveillants, soit 2,6 fois de plus qu’en 2009 (à cette époque, seuls 0,85 % du trafic contenait des programmes malveillants).

Les diffusions massives de programmes malveillants observées en été et au début de l’automne 2010 ont contribué en grande partie au pourcentage élevé de courrier indésirable malveillant de la fin de l’année. Le pic de ces diffusions a été enregistré au mois d’août.


Pourcentage de courrier indésirable avec des pièces
jointes malveillantes dans le courrier en 2010

Toutefois, comme l’indique le schéma, la part de courrier indésirable contenant des pièces jointes malveillantes a commencé à augmenter en mai et dès le mois de juin, elle avait atteint un niveau assez élevé, soit près de 2,7 %.

Concernant la diffusion de code malveillant, le mois de juin aura été un des mois les plus remarquables en 2010. Au cours du premier mois de l’été, l’Internet a été submergé de messages non sollicités contenant des pièces jointes au format HTML avec des scripts malveillants (dont Trojan-Downloader.JS.Pegel.g qui à la fin de l’année a occupé la deuxième position du classement des programmes malveillants diffusés par Internet). Les messages imitaient ceux de divers services légitimes dont des magasins en ligne et des réseaux sociaux. Les individus malintentionnés exploitaient un mode assez complexe de diffusion de programmes malveillants à l’aide de ces messages non sollicités et l’inclusion des ordinateurs des utilisateurs dans un réseau de zombies. Vous trouverez ici de plus amples informations sur ce mode.

Les diffusions contenant des pièces jointes malveillantes ont atteint leur pic en août et en septembre (respectivement 6,29 et 4,33 %). Un tel pourcentage élevé de messages contenant des pièces jointes malveillantes dans le courrier s’explique par plusieurs injections puissantes et de courtes durées de code malveillant dans le trafic de messagerie. Il y a eu six injections au total : trois en août et trois en septembre. À ce moment, les individus malintentionnés se sont mis à diffuser activement de nouvelles modifications de différents programmes malveillants, dont Zbot qui a défrayé la chronique. Pour en savoir plus sur ces diffusions, vous pouvez lire le rapport pour le troisième trimestre 2010.

Une des conséquences des diffusions massives de programmes malveillants d’août et de septembre fut la hausse sensible du nombre de messages avec des archives zip en pièce jointe. En général, ce genre de message non sollicité ne représente jamais plus de 0,5 % du volume global de courrier indésirable. Toutefois, au troisième trimestre, la part de messages contenant des pièces jointes zip a atteint un taux record de 2,6 % de l’ensemble de messages non sollicités. Au quatrième trimestre, le nombre de messages contenant des pièces jointes au format zip est revenu à son niveau habituel (environ 0,3 % de l’ensemble du courrier indésirable). Ceci étant dit, il y a une règle élémentaire de la sécurité informatique qu’il ne faut pas oublier : ne jamais ouvrir des archives incompréhensibles dans des messages suspects.

Le Top 10 des programmes malveillants diffusés par courrier électronique en 2010 ressemble à ceci :

Hameçonnage

La part des messages d’hameçonnage représentait 0,35 % de l’ensemble des messages électroniques, soit une baisse de 0,51% par rapport au chiffre de l’année dernière.

Il faut signaler que la part des messages d’hameçonnage est restée faible tout au long de l’année : environ 0,02 %. Comme le montre le diagramme, ce n’est qu’au début et à la fin de l’année que les messages d’hameçonnage ont atteint un niveau notable dans le trafic de messagerie.


Pourcentage de messages contenant des liens d’hameçonnage dans le trafic de messagerie en 2010

Les « goûts » des auteurs d’attaque d’hameçonnage ont quelque peu changé par rapport à l’année dernière. Bien que les principales victimes parmi les organisations les plus souvent prises pour cibles par le phishing restent PayPal et eBay, la majeure partie du classement a subi des modifications notables.

Pronostics

Au cours de l’année 2011, nous pouvons nous attendre à une poursuite des attaques complexes exploitant les technologies des auteurs d’attaques de phishing, des diffuseurs de courrier indésirable et de l’ingénierie sociale. Les diffusions actives de courrier indésirable malveillant vont se poursuivre car les diffuseurs de courrier indésirable doivent restaurer les réseaux de zombies perdus.

Il faut signaler que la restauration des réseaux de zombies va s’accompagner d’une augmentation du nombre de messages non sollicités dans le trafic de messagerie. Pour l’instant, les diffuseurs de courrier indésirable n’ont toujours pas récupéré des coups portés aux réseaux de zombies. Mais il est probable que d’ici un mois ou deux, le volume du courrier indésirable aura retrouvé un niveau élevé.

Les cybercriminels seront désormais plus prudents et essaieront de mettre sur pied des réseaux de zombies dans des pays moins protégés contre les cybermenaces, tant au niveau juridique que technique. Ceci est indirectement confirmé par le fait qu’au mois de novembre, c’est en Russie, en Inde et au Viet Nam que le plus grand nombre de déclenchements de l’Antivirus Courrier a été détecté et les programmes malveillants diffusés dans ces pays contenaient des chevaux de Troie chargés de télécharger des bots. Par conséquent, la répartition des sources de courrier indésirable par pays va continuer à changer.

Nous avons déjà dit à maintes reprises que la lutte contre le courrier indésirable doit être menée simultanément à plusieurs niveaux : législatif, juridique, technologique et pédagogique. 2010 aura démontré qu’il était tout à fait possible d’engranger des victoires dans cette lutte. La fermeture en 2010 des centres de commande de plusieurs réseaux de zombies spécialisés dans la diffusion de courrier indésirable, l’activité pressante des autorités judiciaires et certaines initiatives sur le plan législatif peuvent nous laisser espérer que le courrier indésirable est enfin reconnu en tant que tel et qu’il n’est plus une source d’inquiétudes que pour les seuls développeurs de solution de sécurité sur Internet. Nous aimerions croire que ceci n’est que le début et que l’année 2011 sera une étape importante dans la lutte contre le courrier indésirable.

Si les autorités judiciaires et les hébergeurs, associés aux experts en informatique, poursuivent leur lutte contre les cybercriminels, alors un jour viendra où Internet sera plus propre et plus sûr pour l’utilisateur.

Mais pour l’instant, nous devons une fois de plus rappeler aux utilisateurs qu’ils doivent être prudents vis-à-vis de la publicité et des liens dans les messages non sollicités, qu’ils doivent installer en temps utile les mises à jour des différentes applications et utiliser des logiciels antivirus à jour. Car de nos jours, un simple courrier indésirable représente un danger qui peut nuire à votre ordinateur.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *