Les logiciels malveillants basés sur des pièces jointes constituent une menace persistante qui ne semble pas vouloir disparaître. Au début de l'année 2023, une nouvelle menace a été révélée : un ransomware baptisé MortalKombat, qui se propage par le biais de courriels d'hameçonnage, ciblant des victimes aux États-Unis, puis au Royaume-Uni, en Turquie et aux Philippines. Parallèlement, une autre menace persistante avancée (APT) appelée APT-C-61, également connue sous le nom de Tengyun Snake, est apparue et a opéré en Asie du Sud avec une portée élargie à l'Iran, à la Turquie et à d'autres pays, partageant un vecteur d'attaque initial similaire. Ces deux menaces émergentes ont mis en évidence la nécessité de s'éloigner d'une approche basée sur la détection et d'adopter des solutions basées sur la prévention.
La mise à mort
Les deux attaques peuvent utiliser un vecteur de menace similaire, à savoir les courriels d'hameçonnage, mais leurs chaînes d'exécution sont différentes l'une de l'autre. Dans le cas de MortalKombat, la chaîne d'exécution commence lorsque l'auteur de la menace envoie une pièce jointe ZIP malveillante qui contient la charge utile malveillante. Une fois que la victime a décompressé la pièce jointe, le chargeur du ransomware est rapidement déployé et lance l'attaque en plusieurs étapes.
En revanche, Tengyun Snake suit une chaîne d'exécution plus sophistiquée. Les acteurs malveillants utilisent d'abord des techniques d'ingénierie sociale en imitant des services gouvernementaux. Les cibles sélectionnées reçoivent ensuite des courriels de spear-phishing, qui contiennent des paquets compressés (comme un exploit de vulnérabilité DDE) avec des documents PDF ou Word malveillants. Les victimes déploient le logiciel malveillant personnalisé en un clic, ce qui lui permet d'exfiltrer des données en silence.
Pourquoi l'approche basée sur la détection n'a pas fonctionné
Bien que les deux cas d'attaques aient présenté des chaînes d'exécution et des objectifs différents. (MortalKombat visait à soutirer des gains financiers aux victimes, tandis que Tengyun Snake se concentrait sur l'obtention de données sensibles, telles que la propriété intellectuelle, provenant d'organisations spécifiques ciblant une variété d'industries, y compris les secteurs gouvernementaux, militaires, énergétiques et technologiques, ainsi que d'autres organisations de grande valeur), il y a un point commun : Les mesures de sécurité basées sur la détection ne seraient pas en mesure de les détecter.
Le logiciel malveillant a été déployé à l'aide d'une pièce jointe dans des courriels d'hameçonnage. Comme ces mécanismes d'attaque permettent aux attaquants de créer facilement de nouvelles variantes, il n'y aurait pas de modèles de signatures pour eux. Les moteurs antivirus n'auraient donc pas été en mesure de les détecter. Le blocage des adresses électroniques associées aux courriels d'hameçonnage n'est pas non plus une solution idéale, car les techniques d'usurpation permettent aux acteurs malveillants de contourner complètement les mécanismes de détection.
La solution : Une approche fondée sur la prévention Email Security
La prévention des menaces véhiculées par le courrier électronique nécessite plus qu'une simple solution basée sur la détection. Les menaces de logiciels malveillants avancés peuvent être traitées avec une solution basée sur la prévention. En désarmant de manière proactive tout contenu actif, les entreprises peuvent s'assurer que les boîtes aux lettres sont protégées contre les menaces avancées inconnues.
Le désarmement et la reconstruction du contenu est une technologie recommandée par les experts du marché. Il s'agit d'une technologie qui démonte un fichier, désarme le contenu actif, puis reconstruit le fichier avec des caractéristiques similaires à celles du fichier d'origine. Le résultat final est un fichier très similaire, mais sans contenu potentiellement malveillant. Cette technologie garantit que les pièces jointes entrantes sont exemptes de logiciels malveillants de type "zero-day" et d'exploits inconnus.
OPSWAT MetaDefender Email Security
OPSWAT MetaDefender Email Security est une solution complète de sécurité du courrier électronique qui pousse la sécurité de votre courrier électronique à son paroxysme. Offrant des fonctionnalités avancées, OPSWAT MetaDefender Email Security protège les boîtes aux lettres contre les logiciels malveillants de type "zero-day" et les exploits inconnus.
Technologie anti-hameçonnage multicouche
OPSWAT MetaDefender Email Security utilise une approche anti-hameçonnage multicouche pour prévenir les courriels d'hameçonnage. Cette solution utilise des algorithmes heuristiques et d'apprentissage automatique avancés pour bloquer plus efficacement les messages de spam indésirables. En outre, elle réécrit les URL pour vérifier la réputation au moment du clic en utilisant plus de 30 sources en ligne pour protéger les organisations contre les attaques sophistiquées d'ingénierie sociale.
Prévention des menaces de type Zero-Day
OPSWAT MetaDefender Email Security Deep CDR prévient efficacement les menaces de type "zero-day" et les exploits inconnus en assainissant le corps des messages électroniques et les pièces jointes à l'aide de la technologie propriétaire de OPSWAT. Deep CDR décompose un fichier et l'assainit, en supprimant tout contenu potentiellement malveillant. Il reconstruit ensuite le fichier avec des caractéristiques similaires, garantissant ainsi son utilisation. Deep CDR prend en charge plus de 100 types de fichiers et fonctionne également avec des fichiers protégés par un mot de passe.
Comme deep CDR est une technologie basée sur la prévention, elle est beaucoup plus efficace pour neutraliser les menaces inconnues, y compris les logiciels malveillants personnalisés, que la sécurité basée sur la détection, ce qui garantit que les entreprises et les infrastructures critiques ne reçoivent que des courriels sécurisés et propres dans les boîtes de réception des entreprises.
Protection avancée contre les logiciels malveillants
OPSWAT MetaDefender Email Security pousse l'analyse des logiciels malveillants à son paroxysme en appliquant la technologie Multiscanning , qui analyse les fichiers en utilisant simultanément plus de 20 moteurs AV de premier plan, complétés par des capacités heuristiques et d'apprentissage automatique. Il en résulte un taux de détection de 99 %, qui bloque même les menaces par courriel les plus sophistiquées, telles que les logiciels malveillants de type "zero-day" et les ransomwares.
Conformité réglementaire simplifiée
Pour éviter les fuites de données, OPSWAT MetaDefender Email Gateway utilise la technologie Proactive Data Loss Prevention, qui bloque les données sensibles et confidentielles dans les courriels. Lorsqu'il trouve des données sensibles, il les expurge pour éviter qu'elles ne soient divulguées. Cette technologie fonctionne avec plus de 40 types de fichiers différents, y compris des fichiers spécifiques à une région.
Les menaces de logiciels malveillants avancés tels que MortalKombat et Tengyun Snake sont des risques croissants qui peuvent coûter des millions aux entreprises. Cependant, cela ne signifie pas que votre organisation doit être vulnérable. OPSWAT MetaDefender Email Security renforce au maximum la sécurité de votre courrier électronique et fournit les capacités inégalées dont vous avez besoin pour protéger la boîte aux lettres de votre organisation contre les menaces avancées.
Contactez nos experts en sécurité pour plus d'informations ou pour une démonstration en direct.
