Le dernier rapport Proofpoint donne un aperçu de l’évolution des tendances cybercriminelles et des cyberattaques visant les entreprises depuis le début de l’année 2019. Voici ce qu’il faut en retenir…

Sans surprise, l’année 2019 ne marque aucune amélioration sur le front des cyberattaques. La plupart des tendances constatées en 2018 se confirment en 2019.

Ainsi l’email reste le vecteur numéro 1 pour attaquer une entreprise avec une augmentation constante de ce que l’on appelle les « BEC » (Business Email Compromised). Il s’agit de comptes emails professionnels compromis par des cyber-attaquants afin d’envoyer à des collègues ou des partenaires de l’entreprise des courriers malveillants contenant soit une menace informatique soit un message d’instructions pour réaliser un transfert d’argent.

L’email, vecteur n°1

Tous secteurs confondus, chaque entreprise a subi en moyenne 47 attaques BEC durant le trimestre, un chiffre en légère décroissance par rapport à la fin de l’année 2018. Selon Proofpoint, cette décroissance apparente semble indiquer un ciblage de plus en plus sélectif mais est aussi le fruit de variations saisonnières. Et si l’étude penche pour un ciblage plus sélectif, c’est parce que certains secteurs sont vraiment plus touchés que d’autres par les BEC : les secteurs de l’ingénierie, de l’automobile et de l’éducation ont été les principales cibles des attaques par e-mail au premier trimestre 2019.

Proofpoint s’est amusé à analyser les mots-clés utilisés dans les titres de ces emails malveillants. 33% d’entre eux contiennent le mot « Payment » (ou ses traductions) qui devient ainsi le mot le plus fréquemment utilisé par les cybercriminels, 15% le mot « Urgent », 13% le mot « Request » (ou ses traductions), 6% le mot « Greeting ».

Et alors que nous avions assisté ces derniers mois à un retour en force des pièces attachées malveillantes, 2019 semble marquer le retour en vogue des liens URL malveillants : les entreprises ont reçu 5 fois plus d’emails malveillants contenant une URL dangereuse que d’emails contenant une pièce attachée dangereuse.
La principale menace véhiculée par les emails au premier trimestre 2019 aura été le botnet EMOTET qui peut charger sur la machine attaquée toutes sortes de modules additionnels allant du spam au vol d’informations.

Phishing et cryptomining

Parallèlement, Proofpoint constate une baisse de près de 50% (par rapport à la fin 2018) des attaques d’ingénierie sociale réalisées à partir de sites Internet piratés ou de malvertising.
Autre baisse notable, celle des sites infectés par des cryptominers. Mais cette baisse est principalement à la fermeture de Coinhive en mars 2019. Les cybercriminels n’ont cependant pas arrêté leur quête d’utilisation illicite du mining pour booster leurs revenus et les cryptominers pourraient revenir en force dans la seconde moitié de l’année.

Enfin, dernière information importante, désormais un quart des domaines frauduleux actifs (ceux qui ne pointent pas vers une page d’attente ou une erreur 404) disposaient d’un certificat SSL. La présence d’un certificat et donc du fameux cadenas attaché à l’URL n’est plus un signe d’absence de danger. Ce n’est pas nouveau, mais cela prouve désormais la volonté des cyber-attaquants de complexifier leurs sites de phishing bien que ces derniers n’aient souvent qu’une durée de vie très courte.

Source : Proofpoint Q1 2019 Threat Report