Prenez-vous des mesures pour empêcher les téléchargements de malwares par « drive-by downloads » ?
Avez-vous mis en place des contrôles pour réduire votre surface d’attaque et empêcher vos employés de télécharger par inadvertance des malwares sur votre réseau ?
Le « malvertising », un risque majeur pour la sécurité qu’il faut gérer
La malvertising est le terme utilisé pour désigner la pratique consistant à afficher des publicités malveillantes aux visiteurs d’un site web.
Les publicités malveillantes sont diffusées par l’intermédiaire de réseaux publicitaires tiers présents sur un large éventail de sites web légitimes. Des publicités malveillantes ont été diffusées auprès des visiteurs de la plupart des 500 principaux sites web mondiaux.
On a découvert que le site web du quotidien New York Times affichait de la publicité malveillante par l’intermédiaire d’un réseau publicitaire tiers. Ces publicités redirigeaient les visiteurs vers des sites web où des ransomwares ont été téléchargés. De même, on a découvert que le site web de la BBC au Royaume-Uni affichait des publicités malveillantes qui donnaient lieu à des téléchargements de ransomwares.
D’autres sites très connus affichent de la publicité malveillante. Parmi tant d’autres, on compte AOL, le site web de la NFL, Realtor, theweathernetwork, Newsweek, infolinks, answers.com et thehill.
Proofpoint a récemment annoncé avoir réussi à fermer l’opération de contamination de malwares d’AdGholas.
Cette opération à grande échelle aurait donné lieu à l’affichage de publicités malveillantes auprès de 1 à 5 millions d’individus par jour. Les chercheurs de Proofpoint ont estimé qu’entre 10 et 20 % des ordinateurs ayant chargé les publicités malveillantes ont été redirigés vers des sites web contenant des kits d’exploitation.
Les kits d’exploitation sondent les vulnérabilités de sécurité des navigateurs web. Si des vulnérabilités sont découvertes, les malwares sont téléchargés discrètement sur l’ordinateur du visiteur du site. Bien entendu, ce n’était qu’une opération de malversation parmi tant d’autres.
Coût des infections par les malwares et les ransomwares
De nombreuses variantes de ransomwares sont capables de se déplacer latéralement au sein d’un réseau et de se répliquer. Un téléchargement peut donc infecter plusieurs ordinateurs. Chaque dispositif infecté est chiffré avec une clé distincte et une demande de rançon distincte est émise pour chaque infection.
Les organisations qui ont été victimes de multiples infections peuvent recevoir des demandes de rançon de l’ordre de plusieurs dizaines de milliers de dollars. En janvier, le Hollywood Presbyterian Medical Center a dû payer 17 000 dollars pour obtenir les clés de déchiffrement afin de déverrouiller ses ordinateurs.
La menace de malware peut être beaucoup plus grave.
Les malwares, tels que les keyloggers peuvent être utilisés pour obtenir des identifiants de connexion des comptes bancaires d’entreprise. Ceci permet aux criminels d’effectuer des transferts frauduleux et de vider les comptes d’entreprise. Les malwares peuvent installer des backdoors qui peuvent être utilisées pour voler les données des patients dans les organisations de soins de santé.
Si vous n’empêchez pas les téléchargements de malwares par « drive-by download », cela peut s’avérer très coûteux. Récemment, Ponemon Institute a calculé le coût moyen d’une atteinte à la protection des données sur les soins de santé, lequel s’élevait à 4 millions de dollars. Le coût par dossier de santé compromis a été estimé à 158 $.
Empêchez les téléchargements de malwares par « drive-by downloads »
Pour éviter les téléchargements de malwares par « drive-by downloads », vous devez employer toute une série de tactiques.
De bonnes politiques de gestion des correctifs peuvent vous aider à vous assurer que vos périphériques ne restent pas vulnérables. Les logiciels, les navigateurs et les plug-ins de navigateur doivent être tenus à jour et les correctifs doivent être appliqués rapidement en cas de besoin. À noter que les plug-ins et logiciels couramment exploités par les cybercriminels comprennent Java, Adobe Flash et PDF Reader et les navigateurs web obsolètes.
Les entreprises peuvent empêcher les employés d’être dirigés vers des sites web malveillants en utilisant une solution de filtrage Web. Ce dernier peut être configuré pour bloquer les sites web connus pour contenir des malwares ou des kits d’exploitation. Un filtre web peut être utilisé pour bloquer l’affichage des publicités tierces. Bloquez les réseaux publicitaires, et vous pouvez être certain que les publicités malveillantes ne seront plus affichées sur les sites web que vos employés peuvent visiter.
Vous devriez également mettre en œuvre des politiques d’utilisation acceptables (PUA) pour limiter les sites web pouvant être visités par vos employés. Une solution de filtrage Web peut vous aider à cet égard. Vous pouvez demander aux employés de ne pas visiter certaines catégories de sites web pouvant présenter un risque supérieur à la moyenne, mais utiliser un filtre Web serait encore plus intéressant pour appliquer les PUA.
En bloquant l’accès aux sites web pornographiques et de jeux d’argent ; aux sites contenant du contenu illégal, et à d’autres sites web à risque tels que les sites de partage de fichiers p2p, le risque de télécharger des malwares peut être considérablement réduit.
Une solution de filtrage Web ne peut pas empêcher toutes les brèches dans les données et les attaques de malwares. Pourtant, c’est un élément vital pour la cybersécurité qui ne doit donc pas être ignoré. C’est l’un des contrôles les plus importants à utiliser pour empêcher les téléchargements de malwares par « drive-by downloads ».