Une nouvelle étude de la société de sécurité Sophos révèle que les acteurs de la menace adoptent de plus en plus des protocoles de communication chiffrés pour empêcher la détection de logiciels malveillants.
Dans son analyse, Sophos fait valoir qu’avec une adoption plus légitime de HTTPS, l’identification du trafic non chiffré est devenue beaucoup plus facile pour les professionnels de la sécurité.
Afin d’éviter la détection, de plus en plus d’auteurs de logiciels malveillants adoptent des protocoles de communication sécurisés, tels que TLS, pour masquer la communication vers et depuis les serveurs de commande et de contrôle (C&C).
Nous examinons comment nos lecteurs utilisent VPN pour un prochain rapport détaillé. Nous aimerions connaître votre opinion dans le sondage ci-dessous. Cela ne prendra pas plus de 60 secondes de votre temps.
>> Cliquez ici pour démarrer l’enquête dans une nouvelle fenêtre <
«Nous avons constaté une croissance spectaculaire au cours de l’année écoulée en ce qui concerne les malwares utilisant TLS pour dissimuler leurs communications. En 2020, 23% des logiciels malveillants que nous avons détectés communiquant avec un système distant via Internet utilisaient TLS; aujourd’hui, il est de près de 46% », observe Sophos.
Sommaire
Communication cryptée
Les chercheurs en sécurité notent également qu’ils ont observé une augmentation de l’utilisation de TLS dans les attaques de ransomwares au cours de l’année écoulée, en particulier avec les ransomwares déployés manuellement.
Plus inquiétant, cependant, c’est qu’une grande partie de la croissance de l’utilisation des communications sécurisées peut être attribuée à une utilisation accrue des services cloud légitimes protégés par TLS.
Sophos a observé une augmentation de l’utilisation de services tels que Discord, Pastebin, Github et les services cloud de Google, soit comme référentiels pour les composants malveillants, soit comme destinations pour les données volées, et même pour envoyer des commandes aux botnets et autres logiciels malveillants.
La répartition des destinations du trafic du malware TLS au cours des trois premiers mois de 2021 est également intéressante. Les données révèlent que près de la moitié de toutes les communications cryptées de malwares sont allées à des serveurs aux États-Unis et en Inde.
Les services cloud de Google ont dominé le domaine en tant que destination pour 9% des demandes de logiciels malveillants cryptés, le BSNL géré par l’État indien étant juste derrière avec 6%.
Dans son rapport, Sophos suggère aux organisations de mettre en œuvre une stratégie approfondie pour se défendre contre les menaces de plus en plus complexes.
