Augmentation significative du nombre de domaines malveillants

Posted On 28 Mar 2016

Tag: Angler, bot, dns, infiltration, kit, rig

Plus de 90 % des nouveaux domaines malveillants observés dans le monde sont hébergés aux États-Unis et en Allemagne.

La société Infoblox, spécialiste du contrôle du réseau, a annoncé les résultats de son baromètre lié à l’étude des menaces DNS. Et le moins que l’on puisse dire est qu’à la lecture des résultats, il semble que les pirates ont repris du poil de la bête. Celui-ci mesure la création d’infrastructures DNS malveillantes et indique un rebond inattendu vers des niveaux quasi record au quatrième trimestre 2015. Les chercheurs de la société américaine ont également constaté que 92 % des nouveaux domaines malveillants observés au cours de ce trimestre sont hébergés aux Etats-Unis ou en Allemagne.

Après avoir enregistré un fléchissement au trimestre précédent, Les menaces sont remontées à 128 au quatrième trimestre 2015, égalant presque le record de 133 établi au deuxième trimestre. Cela représente une augmentation de 49 % par rapport au quatrième trimestre 2014 et de 5 % en comparaison du trimestre précédent. Cela signifie entre autre que le nombre de domaines malveillants progresse à la fois d’un trimestre et d’une année sur l’autre.

Ces résultats marquent une rupture avec les cycles précédents, où des niveaux record de menaces (indiquant l’implantation de nouvelles infrastructures malveillantes) étaient suivis de plusieurs trimestres de relative accalmie tandis que les cybercriminels utilisaient ces infrastructures pour collecter des données et s’attaquer à des victimes. Cela veut aussi dire que le baromètre des menaces pour l’ensemble de 2015 atteint un niveau bien supérieur à sa moyenne historique et que les entreprises de toutes tailles et de tous types font face à des attaques incessantes.

« Nos observations pourraient indiquer que nous entrons dans une nouvelle phase d’activités soutenues d’implantation et de collecte simultanées », commente Rod Rasmussen, vice-président cybersécurité d’Infoblox. « Face à cette escalade de la part des cybercriminels, il est indispensable de débusquer les infrastructures dont ils se servent pour héberger ces domaines. C’est pourquoi, pour la première fois, nous pointons dans notre baromètre les pays qui accueillent le plus grand nombre de domaines malveillants. »

Le baromètre des menaces DNS mesure la création d’infrastructures DNS malveillantes, qu’il s’agisse de l’enregistrement de nouveaux domaines ou du piratage de domaines ou d’hôtes légitimes existants. L’indice de référence est 100, correspondant à la moyenne des résultats sur 8 trimestres pour les années 2013 et 2014.

Le système DNS est le carnet d’adresses d’Internet, traduisant les noms de domaines tels que www.google.com en adresses IP numériques compréhensibles par les ordinateurs, par exemple 74.125.20.106. Le DNS étant indispensable pour la quasi-totalité des connexions Internet, les cybercriminels créent constamment de nouveaux domaines et sous-domaines afin de propager une grande diversité de menaces utilisant celui-ci, parmi lesquelles des kits d’exploitation, des campagnes de phishing et des attaques de déni de service distribué (DDoS).

Les Etats-Unis en tête des pays hébergeant des systèmes infectés

L’étude constate que le pays de prédilection des cybercriminels pour l’hébergement et le lancement d’attaques à partir d’infrastructures DNS malveillantes au quatrième trimestre 2015 a clairement été les Etats-Unis, qui représentent 72 % des nouveaux domaines malveillants observés.

L’Allemagne (20 %) est le seul autre pays à en héberger plus de 2 %. Alors qu’une grande partie de la cybercriminalité est originaire de « points chauds » en Europe de l’Est, Asie du Sud-Est et Afrique, cette analyse révèle que l’infrastructure sous-jacente utilisée pour le lancement des attaques elles-mêmes se situe ailleurs, en plein cœur des premières économies mondiales.

Il est à noter que ces informations géographiques n’indiquent pas où se trouvent les pirates, car les kits d’exploitation de vulnérabilités et autres malwares peuvent être développés dans un pays, vendus dans un autre et utilisés dans un troisième pour le lancement d’attaques via des systèmes hébergés dans un quatrième. Cependant, cela concerne les pays dont les réglementations et/ou les contrôles tendent à être laxistes.

« Ce serait un moindre mal si les hébergeurs américains réagissaient promptement pour fermer les domaines dangereux aux contenus malveillants aussitôt identifiés mais ce n’est pas le cas », souligne Lars Harvey, vice-président stratégie de sécurité pour Infoblox. « Le fait est que de nombreux hébergeurs peuvent être lents à réagir, permettant aux malwares de se propager pendant une durée beaucoup plus longue qu’ils ne le devraient. C’est là un point essentiel à améliorer. »

Réapparition d’un vieux Exploit Kit

Les kits d’exploitation de vulnérabilités constituent une catégorie particulièrement alarmante de malware car ils incarnent la cybercriminalité automatisée. Un petit nombre de pirates hautement compétents peuvent créer ces kits conçus pour diffuser une charge malveillante, puis les vendre ou les louer à des criminels lambda ne possédant pas une grande expérience technique. Cela est de nature à grossir considérablement les rangs des auteurs d’attaques contre des particuliers, des entreprises, ou des administrations…

Si Angler demeure en tête de l’activité des kits d’exploitation DNS, RIG – un kit ancien qui était très en retrait au cours des trimestres précédents – s’est hissé en deuxième position. L’analyse de l’activité de RIG en 2015 montre que celui-ci a commencé à utiliser des techniques de masquage de domaine similaire à celles inaugurées par Angler pour contrer les stratégies de blocage sur la base de la réputation. Cela indique qu’avec l’évolution des kits d’exploitation dans les années à venir, il est possible que d’anciennes menaces réapparaissent sous une nouvelle forme ou à un nouvel endroit.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.