Le rapport de la division STAR de Symantec met à l’index les kits d’attaques

L’étude

Chaque année désormais, cette période de l’année donne droit à la révélation des résultats d’une étude menée par Symantec sur les outils d’attaque et les sites Web malveillants. Conçue et pilotée par la division STAR (Security Technology and Response) de la société, il s’agit d’une analyse approfondie des outils de cyberattaque. Il inclut une présentation en détail de ces kits et traite des méthodes d’attaque, des types de kits, des attaques les plus notables ainsi que de l’évolution des kits. Il inclut également une analyse des caractéristiques des kits d’attaque, de la génération de trafic et de l’activité liée aux kits. La division STAR se penche sur les programmes malveillants générés par plus de 130 millions de systèmes connectés au Net, reçoit les données provenant de 40 000 capteurs de réseau installés dans plus de 200 pays, et assure le suivi de plus de 25 000 vulnérabilités affectant plus de 55 000 technologies conçues par plus de 8000 éditeurs !

C’est dire que l’analyse est approfondie ! Le but est bien sûr d’exploiter ensuite ces vastes connaissances afin de développer et fournir les solutions de protection qui se veulent « les plus complètes du monde ».
Cette année, le rapport de Symantec met à l’index les kits d’attaques en révélant que la facilité d’utilisation et la rentabilité de ces outils favorisent leur explosion et celle du nombre de cybercriminels sur la planète. Les dite kits attirent sans cesse de nouveaux criminels qui, sans eux, n’auraient d’expertise technique suffisante pour devenir des cybercriminels. De ce fait, ils alimentent une économie mondiale souterraine, autonome, rentable et de plus en plus organisée.

Kit ou double ?

Ces kits sont des logiciels utilisables, même  par des béotiens en la matière, et facilite le lancement de cyberattaques à grande échelle sur les ordinateurs en réseau. De quoi sans sourciller et sans gros efforts, lancer diverses  sortes d’attaques « clés en main » contre des systèmes informatiques. Ces outils permettent même de personnaliser les menaces afin d’éviter la détection et d’automatiser autant que faire se peut le processus d’attaque.

Le rapport indique que Symantec a détecté plus de 4,4 millions de pages Web malveillantes par mois et ces kits d’attaques de plus en plus nombreux gagnent en outre en puissance, même s’ils ne sont pas nouveaux.
Concrètement, un kit d’attaques se présente comme une sorte de « boite à outils » facilitant le lancement d’attaques puissantes et coordonnées. Egalement désormais connus sous le nom de « crimeware », ces kits sont souvent composés de codes malveillants prêts à l’emploi permettant d’exploiter des vulnérabilités identifiées. Ils peuvent être personnalisés, déployés et automatisés pour lancer des attaques généralisées.

Leur but ? Comme avec une majorité de maliciels, les kits d’attaques sont utilisés pour le vol de données sensibles ou transformer des ordinateurs compromis en réseaux zombies (botnet) et mener ainsi de nouvelles attaques. Au début des années 1990, les premiers kits identifiés par Symantec étaient simplement destinés à la création de codes binaires et de virus sur MS-DOS. Le « Virus Creation Lab » (VCL) semble avoir été le premier kit de la sorte. Apparu en 1992, il permettait seulement de créer des virus et des chevaux de Troie.  L’attaque la plus connue et développée grâce à un kit d’attaques, VBSWG, est certainement le ver Anna Kournikova, qui s’est propagé rapidement au début des années 2000 (aussi rapidement qu’Anna Kournikova a abandonné le tennis, mais pas le devant de la scène people…).

Tu vas rire… je te kitte !

Sur l’ensemble des menaces détectées par Symantec au cours de l’année, l’éditeur annonce que 61 % pouvait être attribuées à ces kits d’attaques, dont les plus répandus ont pour noms MPack, Neosploit, ZeuS, Nukesploit P4ck et Phoenix. Une progression foudroyante à mettre sur le compte de leur relative simplicité d’utilisation, de leur efficacité et de leur rentabilité. Et Symantec de citer Zeus qui, par exemple, avait permis à un groupe de cybercriminels, arrêtés en septembre 2010, de détourner plus de 70 millions de dollars de comptes bancaires et de transactions en ligne en 18 mois !  Les montants concernés peuvent donc être importants, très importants même… Leur prix a donc flambé en conséquence. Ainsi, explique Symantec, si en 2006 WebAttacker, le kit à la mode de l’époque, se vendait 15 dollars, le prix de Zeus 2.0 pouvait atteindre l’an passé pas moins de 8 000 dollars !

Et le spécialiste de la sécurité d’ajouter que les kits incriminés sont par ailleurs constamment plus robustes et sophistiqués. Qu’ils sont souvent commercialisés sur abonnement, avec des mises à jour régulières, des extensions des fonctionnalités et des services de support – comme s’il s’agissait de logiciels ou progiciels tout ce qu’il y a de plus « honnêtes ». Les cybercriminels font régulièrement la publicité de services d’installation, louent des accès limités aux consoles des kits et – pas si paradoxal – utilisent des outils antipiratage du commerce pour empêcher d’autres pirates d’exploiter leurs outils sans payer !

Plus de 310 000 domaines uniques…

Symantec affirme avoir observé, dans le cadre de cette étude, plus de 310 000 domaines uniques où des logiciels malveillants étaient présents (et qui sait, celui que vous consultez actuellement l’est peut-être aussi…) !  Soit en moyenne 4,4 millions de pages Web infectées par mois ! Quel fléau…
La vitesse à laquelle les nouvelles vulnérabilités et leur exploitation se répandent dans le monde s’est accélérée en raison des innovations que les développeurs de kits d’attaques ont intégrées dans leurs produits. Ces kits sont désormais relativement faciles à mettre à jour et les développeurs peuvent adapter rapidement les programmes malveillants pour s’attaquer à de nouvelles vulnérabilités. En conséquence, certaines menaces circulent dans  les jours qui suivent la publication d’une faille. Étant en mesure de mettre à jour leurs kits facilement pour profiter des nouveautés, les cybercriminels peuvent cibler leurs victimes potentielles avant même qu’elles n’aient installé les correctifs nécessaires.

« Auparavant, les pirates devaient créer leurs propres menaces de bout en bout. La complexité de ce processus limitait le nombre d’attaquants à un petit groupe de cybercriminels très compétents », explique Stephen Trilling, vice-président senior de la division Security Technology and Response de Symantec. « Avec les kits d’attaques d’aujourd’hui, il est relativement facile pour un débutant de lancer une cyberattaque. En conséquence, nous prévoyons une augmentation des activités criminelles dans ce domaine et du nombre de victimes chez l’utilisateur moyen. »

Que faire ?

On ne s’étonnera pas que Symantec d’une part conseille d’agir, d’autre par conseille d’utiliser ses solutions éprouvées pour mater ces menaces virulentes. Auparavant, il s’agit pour l’éditeur de faire un peu de pédagogie. Il explique que les entreprises et les utilisateurs devraient veiller à installer les correctifs de tous leurs logiciels. Les solutions de gestion des ressources et des correctifs peuvent aider à la mise en conformité des systèmes et faciliter le déploiement des correctifs sur les systèmes qui ne sont pas à jour.

Symantec ajoute que les entreprises doivent définir des règles limitant l’utilisation des navigateurs et des extensions de navigateur superflues. Que cela s’applique plus particulièrement aux contrôles ActiveX susceptibles d’être installés à l’insu des utilisateurs. Il affirme aussi : « Les entreprises ont égalemen
t intérêt à utiliser des solutions axées sur la réputation des sites Web et les listes noires d’adresses IP pour bloquer l’accès aux sites connus pour héberger des kits de cyberattaque et les menaces associées. » Et donc Symantec de conclure : «  Il est possible de déployer des antivirus et des systèmes de prévention des intrusions pour détecter et empêcher l’exploitation des vulnérabilités et l’installation de programmes malveillants. »

A bon entendeur…