Rapport Netskope Threat Labs : LATAM 2024

Aller à une section

Vue d'ensemble Dans ce rapport Adoption des applications Cloud Applications cloud utilisées à mauvais escient pour diffuser des logiciels malveillants Top Malware Families Recommandations Netskope Threat Labs À propos de ce rapport

7 min read

Vue d'ensemble

Ce rapport vise à fournir des renseignements exploitables sur les menaces de cybersécurité en Amérique latine. Bien que les tendances mondiales en matière de cybersécurité et d’adoption du cloud offrent des informations précieuses sur le paysage global, il existe certaines variations régionales. Ces différences peuvent provenir de cadres réglementaires différents, de différences d’infrastructure, d’attitudes culturelles à l’égard de la technologie et de différents niveaux de cybermaturité. Comprendre et reconnaître les nuances régionales est essentiel pour concevoir des stratégies efficaces de cybersécurité et d’adoption du cloud, adaptées aux défis et aux opportunités uniques de chaque région.

Dans ce rapport

Adoption de l’application cloud : Les utilisateurs d’entreprise en Amérique latine interagissent régulièrement avec une moyenne de 25 applications cloud chaque mois. Bien qu’il s’agisse des mêmes applications d’entreprise populaires utilisées dans le monde entier, cela inclut également l’application de messagerie privée WhatsApp, utilisée par près d’un quart de tous les utilisateurs en Amérique latine.

Abus des applications cloud : À l’échelle mondiale, environ la moitié de tous les téléchargements de logiciels malveillants proviennent d’applications cloud populaires. En Amérique latine, cela inclut les pièces jointes d’hameçonnage téléchargées dans le client de messagerie Web Outlook.com et les chevaux de Troie bancaires téléchargés à partir de sites Web utilisant le Stockage Blob Azure pour héberger les charges utiles.

Logiciels malveillants et ransomwares : Parmi les familles de logiciels malveillants les plus répandues en Amérique latine figurait le cheval de Troie bancaire Grandoreiro, qui est généralement diffusé dans le cadre d’une campagne de phishing.

Adoption des applications Cloud

Les applications cloud sont omniprésentes dans l’entreprise, l’utilisateur moyen interagissant avec 25 applications cloud différentes chaque mois. Les applications cloud les plus populaires en Amérique latine suivent pour la plupart des tendances mondiales plus larges, avec quelques différences notables.

Alors que Microsoft OneDrive est l’application cloud la plus populaire au monde, son principal concurrent, Google Drive, est également très populaire en Amérique latine, utilisé par près d’un tiers de tous les utilisateurs analysés.
Alors que les utilisateurs d’entreprise du monde entier ont tendance à utiliser des applications d’entreprise comme Microsoft Teams pour la messagerie, l’application de messagerie privée WhatsApp est très populaire en Amérique latine, utilisée par près d’un quart des employés.

L’utilisation d’un si grand nombre d’applications cloud, en particulier de plusieurs applications avec des fonctions qui se chevauchent et des combinaisons d’applications professionnelles et personnelles, souligne l’importance pour les organisations d’Amérique latine d’avoir des politiques pour garantir le traitement sécurisé des données sensibles.

Popularité globale de l’application - LATAM

Applications cloud utilisées à mauvais escient pour diffuser des logiciels malveillants

Étant donné que les adversaires diffusent des logiciels malveillants par le biais de différents canaux, les organisations d’Amérique latine doivent s’assurer qu’elles disposent de contrôles de sécurité pour bloquer les téléchargements de logiciels malveillants sur les canaux les plus populaires. À l’échelle mondiale, environ la moitié de tous les téléchargements de logiciels malveillants HTTP/HTTPS proviennent d’applications cloud populaires, l’autre moitié provenant de différents emplacements sur le Web. Cette section met en évidence les applications pour lesquelles Netskope a bloqué le plus de téléchargements de logiciels malveillants au cours de l’année écoulée.

À l’échelle mondiale, la tendance est que les applications les plus populaires figurent parmi les applications les plus populaires en termes de nombre de téléchargements de logiciels malveillants, ce qui reflète les tactiques des adversaires (les adversaires ont tendance à abuser des applications populaires en raison de leur popularité), le comportement des utilisateurs (les utilisateurs interagissent plus fréquemment avec les applications populaires) et la politique organisationnelle (les organisations ont tendance à autoriser les applications populaires). À l’échelle régionale, les différences résultent de ces trois mêmes facteurs : les différences dans les tactiques de l’adversaire, les comportements des utilisateurs et les politiques organisationnelles.

En Amérique latine, les principales applications de téléchargement de logiciels malveillants dans le cloud figuraient en effet parmi les applications les plus populaires dans l’ensemble de l’entreprise, avec quelques différences notables par rapport aux autres régions. Parmi les applications les plus populaires, on trouve l’application de messagerie Web Outlook.com, avec 18 % de tous les téléchargements de logiciels malveillants dans le cloud. Les téléchargements de logiciels malveillants à partir de Outlook.com provenaient à la fois de comptes Outlook personnels et d’instances Microsoft 365 d’entreprise. Le webmail personnel représentait les deux tiers de tous les téléchargements de logiciels malveillants Outlook.com en volume. Les types de logiciels malveillants les plus couramment téléchargés à partir de Outlook.com étaient des documents PDF malveillants qui constituaient des composants de campagnes de phishing. Ces documents invitaient le destinataire à se rendre sur un site Web d’hameçonnage, à appeler un numéro de téléphone ou les deux. Ces attaques visent généralement à accéder aux comptes de la victime et à vendre cet accès sur des marchés illicites ou des vols financiers. Le Stockage Blob Azure figurait également parmi les principales applications, principalement en raison des logiciels espions et des chevaux de Troie bancaires distribués par des sites Web utilisant le Stockage Blob Azure pour l’hébergement de fichiers.

Alors que l’Amérique latine a connu un pourcentage plus élevé de téléchargements de logiciels malveillants à partir de Outlook.com et de Stockage Blob Azure, elle a constaté un pourcentage plus faible de Microsoft OneDrive et Microsoft SharePoint, où les téléchargements étaient principalement des documents malveillants et des exécutables partagés par inadvertance en interne.

Applications utilisées à mauvais escient pour le téléchargement de logiciels malveillants

Top Malware Families

Cette liste contient les 5 principales familles de logiciels malveillants et de ransomwares détectés par Netskope ciblant les utilisateurs en Amérique latine au cours des 12 derniers mois :

Downloader.BanLoad est un téléchargeur basé sur Java largement utilisé pour fournir une variété de charges utiles de logiciels malveillants, en particulier des chevaux de Troie bancaires.
Infostealer.AgentTesla est un . Cheval de Troie d’accès à distance basé sur NET avec de nombreuses fonctionnalités, telles que le vol de mots de passe de navigateur, la capture de frappes au clavier et le vol du presse-papiers.
Phishing.PhishingX est un fichier PDF malveillant utilisé dans le cadre d’une campagne de phishing pour rediriger les victimes vers une page de phishing.
Trojan.Grandoreiro est un cheval de Troie bancaire LATAM dont l’objectif est de voler des informations bancaires sensibles, ciblant généralement les utilisateurs au Brésil, au Mexique, en Espagne et au Pérou.
Trojan.Ramnit est un cheval de Troie bancaire qui existe depuis un certain temps. Il peut voler des informations telles que les identifiants de connexion, les informations bancaires, etc.

Les chevaux de Troie bancaires ciblent depuis longtemps les utilisateurs et les organisations en Amérique latine, et l’année écoulée n’a pas fait exception. Les familles de logiciels malveillants Grandoreiro, AllaSenha et Ousaban font partie des chevaux de Troie bancaires de la région. Au cours de l’année écoulée, Netskope Threat Labs a constaté que Grandoreiro était le cheval de Troie bancaire le plus courant en Amérique latine. Grandoreiro est un cheval de Troie bancaire à plusieurs composants fonctionnant selon un modèle Malware-as-a-Service (MaaS). Les attaquants déploient généralement Grandoreiro dans le cadre d’une campagne de phishing et utilisent le logiciel malveillant pour contrôler les comptes bancaires de leurs victimes. Les attaquants vident généralement les comptes bancaires et blanchissent les fonds volés. Bien que les forces de l’ordre aient perturbé les opérations de Grandoreiro au début de 2024, Netskope Threat Labs s’attend à ce que les variants de Grandoreiro continuent de circuler.

Recommandations

Ce rapport met en évidence l’adoption croissante du cloud, y compris l’augmentation des données téléchargées vers et depuis diverses applications cloud. Il met également en évidence une tendance croissante des attaquants à abuser de diverses applications cloud, en particulier des applications d’entreprise populaires, pour diffuser des logiciels malveillants (principalement des chevaux de Troie) à leurs victimes. Netskope Threat Labs recommande aux entreprises d’Amérique latine de revoir leur posture de sécurité pour s’assurer qu’elles sont correctement protégées contre ces tendances :

Inspectez tous les téléchargements HTTP et HTTPS, y compris tout le trafic Web et cloud, pour empêcher les logiciels malveillants de s’infiltrer dans votre réseau. Les clients Netskope peuvent configurer leur Netskope NG-SWG avec une stratégie de protection contre les menaces qui s’applique aux téléchargements de toutes les catégories et à tous les types de fichiers.
Assurez-vous que les types de fichiers à haut risque tels que les exécutables et les archives sont soigneusement inspectés à l’aide d’une combinaison d’analyses statiques et dynamiques avant d’être téléchargés. Protection avancée contre les menaces Netskope Les clients peuvent utiliser un Politique de prévention du patient zéro pour conserver les téléchargements jusqu’à ce qu’ils aient été entièrement inspectés.
Configurez des politiques pour bloquer les téléchargements depuis des applications et des instances qui ne sont pas utilisées dans votre organisation afin de réduire le risque aux seules applications et instances nécessaires à l'activité.
Configurez des politiques pour bloquer les téléchargements depuis des applications et des instances qui ne sont pas utilisées dans votre organisation afin de réduire le risque aux seules applications et instances nécessaires à l'activité.
Configurez des stratégies pour bloquer les téléchargements vers des applications et des instances qui ne sont pas utilisées dans votre organisation afin de réduire le risque d’exposition accidentelle ou délibérée des données par des initiés ou d’abus par des attaquants.
Utilisez un Système de prévention des intrusions (IPS) qui peuvent identifier et bloquer les modèles de trafic malveillants, tels que le trafic de commande et de contrôle associé aux logiciels malveillants populaires. Le blocage de ce type de communication peut éviter d’autres dommages en limitant la capacité de l’attaquant à effectuer des actions supplémentaires.
Utiliser Remote Browser Isolation (RBI) pour fournir une protection supplémentaire lorsqu’il est nécessaire de visiter des sites Web qui entrent dans des catégories pouvant présenter un risque plus élevé, comme les domaines nouvellement observés et nouvellement enregistrés.

Netskope Threat Labs

Composé des plus grands chercheurs du secteur des menaces et des logiciels malveillants dans le cloud, Netskope Threat Labs découvre, analyse et conçoit des défenses contre les dernières menaces cloud affectant les entreprises. Nos chercheurs interviennent régulièrement et font du bénévolat lors de conférences de haut niveau sur la sécurité, notamment DefCon, BlackHat et RSA.

À propos de ce rapport

Netskope assure la protection contre les menaces de millions d'utilisateurs à travers le monde. Les informations présentées dans ce rapport sont basées sur des données d'utilisation anonymisées collectées par la plateforme Netskope One concernant un sous-ensemble de clients Netskope ayant donné leur autorisation préalable.

Ce rapport contient des informations sur les détections effectuées par Netskope One Next Generation Secure Web Gateway (NG-SWG), sans tenir compte de l'importance de l'impact de chaque menace individuelle. Les statistiques présentées dans ce rapport se réfèrent à la période comprise entre le 1er juillet 2023 et le 30 juin 2024. Les statistiques reflètent les tactiques des attaquants, le comportement des utilisateurs et la politique de l'organisation.

Rapport Threat Labs : Amérique latine 2024