Selon les statistiques anonymes établies à partir desdemandesadressées sur leThreat Intelligence Portal de Kaspersky, près des trois quarts (72 %) des fichiers malveillants analysés appartiennent à trois catégories :cheval de Troie(Trojan), porte dérobée(Backdoor) et injecteur(Dropper). Ces statistiques montrent également que les types de logiciels malveillants auxquels les chercheurs consacrent le plus de temps ne sont pas nécessairement les plus répandus.
La détection d’activités malveillantes n’est que le point de départ d’une enquête sur uneattaque. Pour élaborer des mesures de réponse aux incidentsles plus appropriées, les analystes en sécurité doivent identifier la cible de l’attaque, l’origine d’un objet malveillant, son degré de popularité, etc. La plateforme Kaspersky Threat Intelligence Portal aide les analystes à révéler plus rapidement le contexte d’une attaque. Les experts de Kaspersky ont examiné les demandes[1] adressées sur leThreat Intelligence Portalpour repérer à quelles menaces les objets malveillants traités par le portail sont le plus souvent associés.
Dans la plupart des cas, les hashtags soumisou les fichiers téléverséssuspects se sont effectivement révélé être des chevaux de Troie (25 % des demandes), des portes dérobées (24 %) — c’est-à-dire des logiciels malveillants qui permettent aux agresseurs de prendre le contrôle d’un ordinateur à distance — et des injecteurs de type Trojan-Dropper (23 %), dont l’objectif est d’installer d’autres objets malveillants. De plus, selon les statistiques publiées par le Kaspersky Security Network, l’infrastructure dédiée au traitement des flux de données de cybersécurité transmis par des millions de bénévolesdu mondeentier, les chevaux de Troie représententla catégoriede malwaresla plus répandue. Pour leur part, les logiciels malveillantsde typeBackdooret Trojan-Dropper sont moinscourants :en effet, ils ne représentent que respectivement 7 % et 3 % de l’ensemble des fichiers malveillants bloqués par les solutions Kaspersky.
Cette différence s’explique notamment par le fait que les chercheurs s’intéressent souvent à la cible finale de l’attaque, tandis que les outils de protection des terminaux (endpoints)la bloquentle plus rapidement possible. À titre d’exemple, ces produits ne laissent pas l’utilisateur ouvrir un courriel suspect ou suivre un lien malveillant, empêchant ainsi les portes dérobées d’atteindre l’ordinateur de la cible. De plus, les chercheurs en sécurité doivent identifier tous les composants que contient un injecteur pour pouvoir l’analyser complètement.
Par ailleurs, la popularité de ces catégories de malware peut s’expliquer par l’intérêt porté à certaines menaces, ainsi quepar l’obligation qu’ont les chercheurs de les analyser de manière plus détaillée. Par exemple, de nombreux utilisateurs ont activement recherché des informations concernant le malware Emotet à la suite des nombreux articles de pressequi lui ont été consacrés en début d’année. Un certain nombre des demandes analysées concernaient des portes dérobées destinées aux systèmes d’exploitation Linux et Android. Ces familles de logiciels malveillants intéressent les chercheurs en sécurité, mais leur niveau demeure relativement faible par rapport aux menaces qui pèsent sur Microsoft Windows.
« Nous avons remarqué que le nombre de demandes transmises au Kaspersky Threat Intelligence Portalpour vérifier des virus ou des éléments de code qui s’insèrent dans d’autres programmes, est extrêmement faible, à savoir moins de 1 %. Toutefois,c’est traditionnellement l’une des menaces les plus souvent détectées par les solutions de protection, détection et réponse aux incidents (EDR). Ce type de menace se réplique et déploie son code dans d’autres fichiers, ce qui peut entraîner l’apparition d’un grand nombre de fichiers malveillants dansle système infecté. Comme nous l’avons constaté, les virus sont rarement intéressants pour les chercheurs, probablement parce qu’ils manquent d’originalité par rapport aux autres menaces », explique Denis Parinov, directeur par intérim de la détection heuristique etde la surveillance des menaces, Kaspersky.
Kaspersky Threat Intelligence Portal est l’unique référentiel
d’accèsaux renseignements sur les menaces traitées par l’entreprise. Il permet
de consulter toutes les données et informations relatives aux cyberattaques que
Kaspersky arecueillies depuis plus de 20 ans. Pour accéder gratuitement à l’ensemble
des fonctionnalités permettant aux utilisateurs de vérifier des fichiers, liens
URL et adresses IP, cliquez ici.
[1]Les demandes anonymisées ont été collectées entre novembre 2019 et mai 2020.
