L’activité des kits d’exploitation a été inférieure à celle de 2016 lorsque le pic d’activité a été atteint, mais la menace n’a pas disparu. En fait, le rapport semestriel de Trend Micro sur la cybersécurité montre que l’activité des kits d’exploitation est trois fois plus importante, comparée à celle de mi-2018. Les sites web hébergeant des kits d’exploitation représentent toujours une menace importante pour les entreprises.
Les kits d’exploitation sont des boîtes à outils contenant des exploits qui tirent parti des vulnérabilités des applications logicielles populaires, comme Internet Explorer et Adobe Flash Player. Lorsqu’un utilisateur atterrit sur une page web qui héberge un kit d’exploitation, il analyse le navigateur de l’utilisateur à la recherche de vulnérabilités. Si une faille est identifiée, un malware est automatiquement téléchargé et exécuté sur l’appareil de l’utilisateur. Dans de nombreux cas, l’utilisateur ne sait pas qu’il télécharge un Cheval de Troie, un ransomware ou un malware.
Le trafic est envoyé pour exploiter les vulnérabilités par le biais d’une publicité malveillante (malvertising) sur des sites web à fort trafic. Les utilisateurs peuvent être dirigés vers des sites web malveillants par le biais des e-mails de phishing. Il est également courant pour les cybercriminels de pirater les sites web à fort trafic et de les utiliser pour héberger leur kit d’exploitation. Autrement dit, les utilisateurs peuvent donc visiter un site web malveillant en naviguant tout simplement sur le web.
Il existe actuellement plusieurs kits d’exploitation tels que Magnitude, Underminer, Fallout, GreenFlash Sundown, Rig, GrandSoft, et Lord. Bien que les ransomwares et les chevaux de Troie bancaires soient les charges utiles les plus connues, ces kits d’exploitations peuvent aussi être utilisés pour lancer des mineurs de cryptomonnaies (variantes de malwares) et des chargeurs de botnet.
De nombreux kits d’exploitation ciblent les anciennes vulnérabilités, mais comme les entreprises sont souvent lentes à appliquer les correctifs nécessaires, ils représentent toujours une menace majeure. Les kits d’exploitation tels que GrandSoft et Rig sont régulièrement mis à jour et peuvent désormais tirer parti des vulnérabilités récentes.
Dans l’une des campagnes les plus récemment identifiées, les acteurs de la menace Nemty Ransomware se sont associés aux opérateurs de RIG pour lancer des ransomwares contre les entreprises qui utilisent encore des versions anciennes et vulnérables d’Internet Explorer.
Par ailleurs, un nouveau kit d’exploitation appelé Lord a été utilisé pour infecter les appareils des utilisateurs avec le ransomware Eris. Pour ce cas précis, le trafic était dirigé vers le kit d’exploitation par le biais des publicités malveillantes sur le réseau publicitaire PopCash. Le kit d’exploitation a été principalement utilisé pour exploiter les failles dans Adobe Flash Player, comme CVE-2018-15982.
La protection contre les kits d’exploitation est simple sur le papier. Il suffit de corriger rapidement les vulnérabilités identifiées. D’une manière générale, s’il n’y a aucune vulnérabilité à exploiter, aucun malware ne peut être téléchargé. Malheureusement, dans la pratique, les choses ne sont pas aussi simples. De nombreuses entreprises tardent à appliquer les correctifs ou ne le font pas sur tous les périphériques qu’elles utilisent.
Les logiciels antispam peuvent aider à réduire les risques en bloquant les e-mails de phishing contenant des liens qui redirigent les utilisateurs vers des sites hébergeant des kits d’exploitation. Pourtant, la majeure partie du trafic provient des moteurs de recherche et des publicités malveillantes, et les logiciels antispam ne peuvent pas les bloquer. Pour améliorer vos défenses contre les kits d’exploitation, les téléchargements par drive-by et les sites de phishing, l’une des meilleures solutions est de mettre en place système de filtrage DNS.
Un filtre DNS permet aux entreprises de contrôler soigneusement les sites web auxquels les employés peuvent accéder lorsqu’ils sont connectés aux réseaux filaires et sans fil de l’entreprise. Il peut être configuré pour bloquer différents types de contenu web tels que les jeux de hasard et les sites web pour adultes. Le fait est qu’il bloque aussi tous les sites web malveillants connus. Pour ce faire, le filtre DNS utilise des listes noires de sites web malveillants connus comme ceux qui hébergent des kits d’exploitation ou des formulaires de phishing. Si un site ou une page web est inclus dans la liste noire, il sera automatiquement bloqué. De plus, le filtre DNS peut analyser en temps réel les sites web pour détecter les contenus malveillants.
Comme le filtrage se fait au niveau du DNS, l’accès aux contenus malveillants ou indésirables est bloqué sans qu’aucun contenu ne soit téléchargé. La mise en place de cette solution est rapide et facile, car il suffit de modifier l’enregistrement DNS pour le diriger vers le fournisseur de services. Aucun matériel supplémentaire n’est donc requis, ni le téléchargement d’un logiciel.
Vous souhaitez améliorer vos défenses contre les logiciels malveillants, les ransomwares, les botnets et le phishing, et vous ne contrôlez pas encore le contenu web auquel vos employés peuvent accéder ? Contactez dès maintenant TitanHQ pour demander des informations sur WebTitan. Bien entendu, vous pouvez aussi vous inscrire pour un essai gratuit de cette solution.