Email Threat Review Févier 2022

Email Threat Review Févier 2022

par | Mar 23, 2022 | Threat Research

Résumé

  • Hornetsecurity a enregistré une augmentation de courriels menaçants en février 2022.
  • Les attaques par courriel et par hameçonnage basées sur des URL continuent d’être importantes.
  • Avec 47,1 % de marques usurpées, LinkedIn a été la marque la plus usurpée dans les campagnes de phishing en cours.

Sommaire

Dans cet épisode de notre Email Threat Review, nous présentons un aperçu des menaces par courriel observées en février 2022 et les comparons aux menaces du mois précédent.

Le rapport fournit des informations sur :

Les courriels indésirables par catégorie

Le tableau suivant montre la répartition des courriels indésirables par catégorie.

Catégorie de courriel %
Rejeté 79.77
Spam 14.20
Threat 5.13
AdvThreat 0.87
Contenu 0.03

 

L’histogramme temporel suivant montre le volume de courriels par catégorie et par jour.

Unwanted emails by category

Le pic de courriels rejetés à partir du 16/02/2022 peut être attribué à une campagne d’escroquerie récurrente à grande échelle de sextorsion en allemand. Cette campagne est ensuite passée en néerlandais le 2022-02-24. Parallèlement à ces campagnes, nous avons également enregistré davantage de courriels menaçants.

 

Méthodologie

Les catégories de courriels répertoriées correspondent aux catégories du Email Live Tracking du Control Panel de Hornetsecurity. Nos utilisateurs les connaissent donc déjà. Pour les autres, les catégories sont:

Catégorie Description
Spam Ces courriels sont indésirables et sont souvent promotionnels ou frauduleux. Les courriels sont envoyés simultanément à un grand nombre de destinataires.
Content Ces courriels ont une pièce jointe invalide. Les administrateurs définissent dans le module Content Control quelles pièces jointes ne sont pas valides.
Threat Ces courriels contiennent du contenu dangeureux, tels que des pièces jointes ou des liens malveillants, ou ils sont envoyés pour commettre des crimes, tels que l‘hameçonnage.
AdvThreat Advanced Threat Protection a détecté une menace dans cescourriels. Les courriels sont utilisés à des fins illégales et impliquent des moyens techniques sophistiqués qui ne peuvent être repoussés qu’à l’aide de procédures dynamiques avancées.
Rejeté Nos serveurs de messagerie rejettent ces courriels directement lors de la transaction SMTP en raison de caractéristiques externes, telles que l’identité de l’expéditeur, et les courriels ne sont pas analysés davantage.

 

Types de fichiers utilisés dans les attaques

Le tableau suivant montre la répartition des types de fichiers utilisés dans les attaques.

File types (used in malicious emails) %
HTML 33.6
Archive 29.0
Excel 12.4
PDF 9.9
Image de disque (Disk image files) 4.6
Executable 3.7
Autre 3.5
Word 2.9
Script file 0.3
LNK file 0.1
Courriel 0.0
Powerpoint 0.0

 

L’histogramme temporel suivant montre le volume de courriels selon type de fichier utilisé dans les attaques par tranche de 7 jours.

File types used in attacks

Il y a eu une baisse des attaques par courriel utilisant des documents HTML pour la livraison de données utiles ou le phishing d’informations d’identification par rapport aux mois précédents. Pour les remplacer, les attaques utilisant des fichiers d’archive, par exemple des documents ZIP, pour encapsuler des fichiers de script malveillants et d’autres exécutables étaient en augmentation. L’augmentation des documents Excel malveillants de 10 % à 12,4 % peut être attribuée à l’activité d’Emotet, qui utilise actuellement des documents Excel malveillants comme vecteur d’infection.

Industry Email Threat Index

Le tableau suivant présente notre Indice des menaces par courriel de l’industrie (Industry Email Threat Index) calculé en fonction du nombre de courriels de menace par rapport aux courriels propres reçus pour chaque industrie (en médiane).

Industries Ratio de courriels de menace par rapport aux courriels propres
Recherche 10.5
Divertissement 7.3
Santé 7.3
Éducation 7.0
Hospitalité 6.9
Fabrication 6.7
Médias 6.6
Automobile 6.6
Secteur du détail 6.1
Utilities 5.6

 

Le graphique à barres suivant visualise la menace basée sur les courriels posée à chaque secteur.

Hornetsecurity Industry Email Threat Index

Dans l’ensemble, notre indice de menaces par courriel a augmenté dans tous les secteurs. Les positions des quatre principales industries restent inchangées. Cependant, l’indice de menace de l’industrie de la recherche a augmenté le plus parmi toutes les industries observées. Alors que l’indice de menace de l’industrie de la recherche est passé de 6,8 % à 10,5 %, l’indice de menace de l’industrie du divertissement n’a augmenté que de 6,4 % à 7,3 %. L’indice de menace du secteur de la santé est passé de 5,3 % à 7,3 %.

Méthodologie

Différentes organisations reçoivent un nombre absolu de courriels différent selon leur taille. Ainsi, nous calculons le ratio de courriels de menace par rapport aux courriels propres en pourcentage des courriels reçus pour chaque organisation pour ainsi mieux les comparer. Nous calculons ensuite la médiane de ces valeurs en pourcentage pour toutes les organisations du même secteur pour former le score de menace final du secteur.

Techniques d’attaque

Le tableau suivant montre les techniques utilisées dans les attaques.

Technique d’attaque %
Phishing 48.4
Autre 32.0
URL 10.6
Extortion 2.3
Arnaque des frais à l‘avance 2.2
Executable in archive/disk-image 1.9
Impersonation 1.8
Documents malveillants (Maldoc) 0.8
LNK 0.0

L’histogramme suivant montre le volume de courriels par technique d’attaque utilisée par heure.

Attack techniques

Marques et organisations usurpées

Le tableau suivant indique les marques d’entreprise et les organisations pour lesquelles nos systèmes ont le plus détectées dans les attaques d’usurpation d’identité.

Marque ou organisation usurpée %
LinkedIn 47.1
Volks- und Raiffeisenbank 24.4
Sparkasse 9.2
Amazon 5.2
Fedex 4.1
Deutsche Post / DHL 2.2
Postbank 0.6
UPS 0.4
Microsoft 0.4
Autre 6.4

L’histogramme suivant montre le volume de courrielsmails pour les marques d’entreprise et les organisations détectées dans les attaques d’usurpation d’identité par heure.

Impersonated company brands

LinkedIn a été usurpé dans plusieurs campagnes de phishing ce mois-ci.

LinkedIn phishing email

De plus, nous avons détecté la poursuite des campagnes de phishing contre les banques allemandes, à savoir la Volks- und Raiffeisenbank, la Sparkasse et la Postbank.

Email Threat Review Févier 2022

Email Threat Review Janvier 2022

par | Fév 15, 2022 | Threat Research

Sommaire

Dans cette édition de notre revue mensuelle des menaces par courriel (Email Threat Review), nous présentons un aperçu des menaces par courriel observées en janvier 2022 et les comparons aux menaces du mois précédent.

Le rapport fournit des informations sur :

Les courriels indésirables par catégorie

Le tableau suivant montre la répartition des courriels indésirables par catégorie.

Catégorie de courriel %
Rejeté 79.84
Spam 15.33
Threat 4.01
AdvThreat 0.78
Contenu 0.04

L’histogramme temporel suivant montre le volume de courriels par catégorie et par jour.

Unwanted emails by category

Méthodologie

Les catégories de courriels répertoriées correspondent aux catégories du Email Live Tracking du Control Panel de Hornetsecurity. Nos utilisateurs les connaissent donc déjà. Pour les autres, les catégories sont:

Catégorie Description
Spam Ces courriels sont indésirables et sont souvent promotionnels ou frauduleux. Les courriels sont envoyés simultanément à un grand nombre de destinataires.
Contenu Ces courriels ont une pièce jointe invalide. Les administrateurs définissent dans le module Content Control quelles pièces jointes ne sont pas valides.
Threat Ces courriels contiennent du contenu dangeureux, tels que des pièces jointes ou des liens malveillants, ou ils sont envoyés pour commettre des crimes, tels que l‘hameçonnage.
AdvThreat Advanced Threat Protection a détecté une menace dans cescourriels. Les courriels sont utilisés à des fins illégales et impliquent des moyens techniques sophistiqués qui ne peuvent être repoussés qu’à l’aide de procédures dynamiques avancées.
Rejeté Nos serveurs de messagerie rejettent ces courriels directement lors de la transaction SMTP en raison de caractéristiques externes, telles que l’identité de l’expéditeur, et les courriels ne sont pas analysés davantage.

Types de fichiers utilisés dans les attaques

Le tableau suivant montre la répartition des types de fichiers utilisés dans les attaques.

File type (used in malicious emails) %
HTML 38.9
Archive 23.2
PDF 12.0
Excel 10.3
Image de disque (Disk image files) 5.0
Exécutable 4.2
Autre 3.1
Word 2.7
Fichier de script 0.4
Fichier LNK 0.2
Courriel 0.1
Powerpoint 0.0

Il y a une augmentation des pièces jointes HTML utilisées dans les attaques de 22,8 % à 38,9 % par rapport au mois dernier.

Indice des menaces par courriel de l’industrie

Le tableau suivant présente notre Indice des menaces par courriel de l’industrie (Industry Email Threat Index) calculé en fonction du nombre de courriels de menace par rapport aux courriels propres reçus pour chaque industrie (en médiane).

Industries Ratio de courriels de menace par rapport aux courriels propres
Recherche 6.8
Divertissement 6.4
Santé 5.3
Éducation 5.3
Mines et carrières 5.2
Fabrication 4.9
Médias 4.7
Automobile 4.5
Hôtellerie et hébergement 4.3
Construction 4.2

Le graphique à barres suivant visualise la menace basée sur les courriels posée à chaque secteur.

Hornetsecurity Industry Email Threat Index

La part des courriels menaçants du secteur de la recherche est passée de 4,1 % à 6,8 % le mois dernier. Une fois de plus elle devient l’industrie la plus menacée par les attaques par courriel.

La part médiane mondiale des courriels de menace dans toutes les entreprises, quel que soit leur secteur, est passée de 3,2 % à 3,7 %. Cela indique que l’augmentation du partage des courriels menaçants ciblant le secteur de la recherche est supérieure à l’augmentation globale du partage des courriels de menace.

Méthodologie

Différentes organisations reçoivent un nombre absolu de courriels différent selon leur taille. Ainsi, nous calculons le ratio de courriels de menace par rapport aux courriels propres en pourcentage des courriels reçus pour chaque organisation pour ainsi mieux les comparer. Nous calculons ensuite la médiane de ces valeurs en pourcentage pour toutes les organisations du même secteur pour former le score de menace final du secteur.

Techniques d’attaque

Le tableau suivant montre les techniques utilisées dans les attaques.

Technique d‘attaque %
Phishing 43.5
Autre 34.0
URL 10.1
Usurpation 3.7
Extortion 3.5
Arnaque des frais à l‘avance 2.3
Executable dans une archive / image de disque 2.0
Documents malveillants (Maldoc) 0.8
LNK 0.0

L’histogramme suivant montre le volume de courriels par technique d’attaque utilisée par heure.

Attack techniques

L’augmentation des attaques basées sur les URL de 7,3 % à 10,1 % le mois dernier peut être attribuée aux campagnes de malspam basées sur les URL d’Emotet.

Marques et organisations usurpées

Le tableau suivant indique les marques d’entreprise et les organisations pour lesquelles nos systèmes ont le plus détectées dans les attaques d’usurpation d’identité.

Marque ou organisation usurpée %
Volks- und Raiffeisenbank 61.2
Autre 10.3
Sparkasse 9.7
Amazon 6.0
Postbank 5.9
Deutsche Post / DHL 4.1
Microsoft 0.9
UPS 0.8
1&1 0.6
Commerzbank 0.4

L’histogramme suivant montre le volume de courrielsmails pour les marques d’entreprise et les organisations détectées dans les attaques d’usurpation d’identité par heure.

Impersonated company brands

En septembre 2021, nous avons signalé pour la première fois une campagne de phishing à grande échelle qui imitait les courriels de banques allemandes. Depuis, la campagne est en cours. Ce mois-ci, la campagne s’est fortement concentrée sur la marque Volks- und Raiffeisenbank. Par conséquent, la marque a été la marque la plus usurpée en janvier 2022. Elle a attribué 61,2 % de toutes les attaques d’usurpation d’identité de marque.

Email Threat Review Févier 2022

Email Threat Review Décembre 2021

par | Jan 25, 2022 | Threat Research

Sommaire

Dans cette édition de notre revue mensuelle des menaces par courriel (Email Threat Review), nous présentons un aperçu des menaces par courriel observées en décembre 2021 et les comparons aux menaces du mois précédent.

Le rapport fournit des informations sur :

Les courriels indésirables par catégorie

Le tableau suivant montre la répartition des courriels indésirables par catégorie.

Email category %
Rejeté 80.70
Spam 14.27
Threat 4.15
AdvThreat 0.84
Contenu 0.04

L’histogramme temporel suivant montre le volume de courriels par catégorie et par jour.

Unwanted emails by category

Les lecteurs de nos rapports précédents ont probablement déjà deviné que la flambée de courriels rejetés au début du mois de décembre peut être attribuée à une campagne mensuelle à grande échelle d’arnaques de sextorsion ciblant les victimes germanophones.

Méthodologie

Les catégories de courriels répertoriées correspondent aux catégories du Email Live Tracking du Control Panel de Hornetsecurity. Nos utilisateurs les connaissent donc déjà. Pour les autres, les catégories sont :

Category Description
Spam Ces courriels sont indésirables et sont souvent promotionnels ou frauduleux. Les courriels sont envoyés simultanément à un grand nombre de destinataires.
Contenu Ces courriels ont une pièce jointe invalide. Les administrateurs définissent dans le module Content Control quelles pièces jointes ne sont pas valides.
Threat Ces courriels contiennent du contenu dangeureux, tels que des pièces jointes ou des liens malveillants, ou ils sont envoyés pour commettre des crimes, tels que l‘hameçonnage.
AdvThreat Advanced Threat Protection a détecté une menace dans cescourriels. Les courriels sont utilisés à des fins illégales et impliquent des moyens techniques sophistiqués qui ne peuvent être repoussés qu’à l’aide de procédures dynamiques avancées.
Rejeté Nos serveurs de messagerie rejettent ces courriels directement lors de la transaction SMTP en raison de caractéristiques externes, telles que l’identité de l’expéditeur, et les courriels ne sont pas analysés davantage.

Types de fichiers utilisés dans les attaques

Le tableau suivant montre la répartition des types de fichiers utilisés dans les attaques.

Type de fichier (utilisé dans les courriels malveillants) %
Archive 28.8
HTML 22.8
PDF 18.5
Excel 11.8
Image de disque (Disk image files) 4.8
Autre 4.4
Exécutable 4.4
Word 3.6
Courriel 0.7
Fichier de script 0.2

La répartition des types de fichiers dans les attaques utilisant des pièces jointes est pratiquement la même que les mois précédents.

Indice des menaces par courriel de l’industrie

Le tableau suivant présente notre Indice des menaces par courriel de l’industrie (Industry Email Threat Index) calculé en fonction du nombre de courriels de menace par rapport aux courriels propres reçus pour chaque industrie (en médiane).

Industries

Ratio de courriels de menace par rapport aux courriels propres

Fabrication 4.8
Médias 4.6
Éducation 4.3
Recherche 4.1
Mines et carrières 4.1
Santé 4.0
Agriculture 3.9
Automobile 3.9

Hôtellerie et hébergement

 3.7
Divertisseemnt 3.5

Le graphique à barres suivant visualise la menace basée sur les courriels posée à chaque secteur.

Hornetsecurity Industry Email Threat Index

L’indice de menace de l’industrie de la recherche est passé de 6,0 à 4,1. De plus, l’industrie hôtelière a fait partie du top 10. Cela est probablement dû au ciblage des criminels qui savent que d’autres industries auront réduit le trafic de messagerie en raison des vacances, ce qui rendra plus difficile la pénétration des courriels menaçants, tandis que l’industrie hôtelière (hôtels , restaurants, etc.) a augmenté son activité pendant les vacances.

Méthodologie

Différentes organisations reçoivent un nombre absolu de courriels différent selon leur taille. Ainsi, nous calculons le ratio de courriels de menace par rapport aux courriels propres en pourcentage des courriels reçus pour chaque organisation pour ainsi mieux les comparer. Nous calculons ensuite la médiane de ces valeurs en pourcentage pour toutes les organisations du même secteur pour former le score de menace final du secteur.

Techniques d’attaque

Le tableau suivant montre les techniques utilisées dans les attaques.

Technique d‘attaque %
Phishing 49.2
Autre 31.4
URL 7.3
Extortion 3.3
Usurpation 3.0
Arnaque des frais à l‘avance 2.5
Executable dans une archive / image de disque 2.5
Documents malveillants (Maldoc) 0.8
LNK 0.0

L’histogramme suivant montre le volume de courriels par technique d’attaque utilisée par heure.

Attack techniques

Marques et organisations usurpées

Le tableau suivant indique les marques d’entreprise et les organisations pour lesquelles nos systèmes ont le plus détectées dans les attaques d’usurpation d’identité.

Marque ou organisation usurpée %
Sparkasse 50.1
Volks- und Raiffeisenbank 24.0
Amazon 5.2
Postbank 4.2
Other 3.8
Deutsche Post / DHL 3.6
PayPal 1.5
DocuSign 1.0
LinkedIn 0.9
Microsoft 0.8
1&1 0.7

L’histogramme suivant montre le volume de courrielsmails pour les marques d’entreprise et les organisations détectées dans les attaques d’usurpation d’identité par heure.

Impersonated company brands

Le 2021-12-05, la longue campagne de phishing à grande échelle contre les deux associations bancaires allemandes, Sparkasse et Volks- und Raiffeisenbanken, visait également la Postbank allemande. Les courriels utilisent le même leurre que les campagnes dont nous avons précédemment parlé. L’utilisateur est informé d’un prétendu changement au niveau de la banque concernant la directive European Payment Services Directive 2 (PSD2). L’utilisateur est prié d’examiner et de confirmer les modifications apportées à ses données.

Postbank phishing

Campagne de Noël Emotet

Emotet est connu pour envoyer des campagnes pour des événements saisonniers spécifiques. Nous avons souligné la campagne Halloween d’Emotet. Emotet a également envoyé des courriels de menace ce Noël.

The emails were very primitive and only featured one link.

Emotet Christmas email

Comme d’habitude, le lien dans le courriel télécharge un document Office dont le code de macro malveillant télécharge et exécute le logiciel malveillant Emotet.

Email Threat Review Févier 2022

Email Threat Review Novembre 2021

par | Déc 8, 2021 | Threat Research

Résumé Exécutif

  • Novembre 2021 a marqué le retour d’Emotet après le démantèlement du botnet par les forces de l’ordre en janvier 2021.

Sommaire

Dans cette édition de notre revue mensuelle des menaces par courriel (Email Threat Review), nous présentons un aperçu des menaces par courriel observées en novembre 2021 et les comparons aux menaces du mois précédent.

Le rapport fournit des informations sur :

Les courriels indésirables par catégorie

Le tableau suivant montre la répartition des courriels indésirables par catégorie.

Catégorie de courriel %
Rejeté 81.00
Spam 13.42
Menace 4.67
Menace Avancée 0.88
Contenu 0.03

L’histogramme temporel suivant montre le volume de courriels par catégorie et par jour.

Unwanted emails by category

Méthodologie

Les catégories de courriels répertoriées correspondent aux catégories du Email Live Tracking du Control Panel de Hornetsecurity. Nos utilisateurs les connaissent donc déjà. Pour les autres, les catégories sont :

Categorie Description
Spam Ces courriels sont indésirables et sont souvent promotionnels ou frauduleux. Les courriels sont envoyés simultanément à un grand nombre de destinataires.
Contenu Ces courriels ont une pièce jointe invalide. Les administrateurs définissent dans le module Content Control quelles pièces jointes ne sont pas valides.
Menace Ces courriels contiennent du contenu dangeureux, tels que des pièces jointes ou des liens malveillants, ou ils sont envoyés pour commettre des crimes, tels que l‘hameçonnage.
Menace Avancée Advanced Threat Protection a détecté une menace dans cescourriels. Les courriels sont utilisés à des fins illégales et impliquent des moyens techniques sophistiqués qui ne peuvent être repoussés qu’à l’aide de procédures dynamiques avancées.
Rejeté Nos serveurs de messagerie rejettent ces courriels directement lors de la transaction SMTP en raison de caractéristiques externes, telles que l’identité de l’expéditeur, et les courriels ne sont pas analysés davantage.

Types de fichiers utilisés dans les attaques

Le tableau suivant montre la répartition des types de fichiers utilisés dans les attaques.

File type (used in malicious emails) %
Archive 28.9
HTML 23.1
PDF 18.1
Excel 12.0
Image de disque (Disk image files) 4.9
Autre 4.8
Word 3.9
Exécutable 3.5
Courriel 0.6
Fichier de script 0.1
Powerpoint 0.1
Fichier LNK 0.0

L’histogramme temporel suivant montre le volume de courriels par type de fichier utilisé dans les attaques sur 7 jours.

File types used in attacks

Indice des menaces par courriel de l’industrie

Le tableau suivant présente notre Indice des menaces par courriel de l’industrie (Industry Email Threat Index) calculé en fonction du nombre de courriels de menace par rapport aux courriels propres reçus pour chaque industrie (en médiane).

Industries Ratio de courriels de menace par rapport aux courriels propres
Recherche 6.0
Fabrication 5.2
Médias 4.6
Santé 4.6
Automobile 4.3
Éducation 4.2
Services publics 3.9
Mines et carrières 3.8
Construction  3.5
Transport 3.5
Secteur financier 3.4

Le graphique à barres suivant visualise la menace basée sur les courriels posée à chaque secteur.

Hornetsecurity Industry Email Threat Index

Méthodologie

Différentes organisations reçoivent un nombre absolu de courriels différent selon leur taille. Ainsi, nous calculons le ratio de courriels de menace par rapport aux courriels propres en pourcentage des courriels reçus pour chaque organisation pour ainsi mieux les comparer. Nous calculons ensuite la médiane de ces valeurs en pourcentage pour toutes les organisations du même secteur pour former le score de menace final du secteur.

Techniques d’attaque

Le tableau suivant montre les techniques utilisées dans les attaques.

Attack technique %
Phishing 49.6
Autre 31.9
URL 6.8
Extortion 3.9
Executable dans une archive / image de disqueimage 2.4
Usurpation 2.3
Arnaque des frais à l‘avance 2.2
Documents malveillants (Maldoc) 0.8
LNK 0.0

L’histogramme suivant montre le volume de courriels par technique d’attaque utilisée par heure.

Attack techniques

Marques et organisations usurpées

Le tableau suivant indique les marques d’entreprise et les organisations pour lesquelles nos systèmes ont le plus détectées dans les attaques d’usurpation d’identité.

Marque ou organisation usurpée %
Sparkasse 62.2
Volks- und Raiffeisenbank 11.7
Amazon 4.9
Deutsche Post / DHL 4.0
PayPal 2.1
DocuSign 1.7
UPS 1.4
LinkedIn 1.3
Fedex 1.2

L’histogramme suivant montre le volume de courrielsmails pour les marques d’entreprise et les organisations détectées dans les attaques d’usurpation d’identité par heure.

Impersonated company brands

L‘histogramme montre clairement la poursuite des campagnes contre les banques allemandes Sparkasse et Volks- und Raiffeisenbank qui ont commencé fin septembre 2021.

Return of Emotet

Le 2021-11-15, les systèmes informatiques infectés par le malware TrickBot ont commencé à télécharger et à installer le malware Emotet. Par la suite, le botnet Emotet a été reconstruit et a envoyé à nouveau du malspam depuis son botnet. Nous avons signalé cet événement dans un article de blog sépaé (anglais).

Email Threat Review Févier 2022

Email Threat Review October 2021

par | Nov 16, 2021 | Threat Research

Résumé exécutif

  • Ce mois-ci, nous avons assisté à la poursuite de l’attaque d‘hameçonnage à grande échelle contre les banques allemandes qui a débuté à la fin du mois dernier.

Sommaire

Dans cette édition de notre revue mensuelle des menaces par courriel (Email Threat Review), nous présentons un aperçu des menaces par courriel observées en octobre 2021 et les comparons aux menaces du mois précédent.

Le rapport fournit des informations sur:

Les courriels indésirables par catégorie

Le tableau suivant montre la répartition des courriels indésirables par catégorie.

Catégorie de courriel %
Rejeté 80.92
Spam 13.50
Menace 4.68
Menace Avanceé 0.86
Contenu 0.03

L’histogramme temporel suivant montre le volume de courriels par catégorie et par jour.

Les courriels indésirables par catégorie

La forte augmentation des e-mails indésirables, vers le 2021-10-26, peut être attribuée à une campagne d’escroquerie sextorsion récurrente mensuellement.

Méthodologie

Les catégories de courriels répertoriées correspondent aux catégories du Email Live Tracking du Control Panel de Hornetsecurity. Nos utilisateurs les connaissent donc déjà. Pour les autres, les catégories sont:

Category Description
Spam Ces courriels sont indésirables et sont souvent promotionnels ou frauduleux. Les courriels sont envoyés simultanément à un grand nombre de destinataires.
Contenu Ces courriels ont une pièce jointe invalide. Les administrateurs définissent dans le module Content Control quelles pièces jointes ne sont pas valides.
Menace Ces courriels contiennent du contenu dangeureux, tels que des pièces jointes ou des liens malveillants, ou ils sont envoyés pour commettre des crimes, tels que l‘hameçonnage.
Menace Avancée Advanced Threat Protection a détecté une menace dans cescourriels. Les courriels sont utilisés à des fins illégales et impliquent des moyens techniques sophistiqués qui ne peuvent être repoussés qu’à l’aide de procédures dynamiques avancées.
Rejeté Nos serveurs de messagerie rejettent ces courriels directement lors de la transaction SMTP en raison de caractéristiques externes, telles que l’identité de l’expéditeur, et les courriels ne sont pas analysés davantage.

Types de fichiers utilisés dans les attaques

Le tableau suivant montre la répartition des types de fichiers utilisés dans les attaques.

Type de fichier (utilisé dans les courriels malveillants) %
HTML 37.3
Archive 25.8
PDF 13.1
Excel 7.0
Image de disque (Disk image files) 5.2
Autre 4.2
Exécutable 3.4
Word 3.3
Powerpoint 0.4
Fichier de script 0.1

Les autres types de fichiers non répertoriés individuellement sont les fichiers de courrier électronique (transférés en tant que pièces jointes .eml), les fichiers de raccourcis de bureau Windows (.lnk), les fichiers de raccourcis Internet (.url), les fichiers d’archive Java (.jar), les fichiers iCalendar (.ics), les fichiers vCard (.vcf), les formats de fichiers de livres électroniques (.epub, .mobi) et bien d’autres formats de fichiers encore plus exotiques. Ceux-ci sont regroupés sous « Autre ».

L’histogramme temporel suivant montre le volume de courriels par type de fichier utilisé dans les attaques sur 7 jours.

Types de fichiers utilisés dans les attaques

Indice des menaces par courriel de l’industrie

Le tableau suivant présente notre Indice des menaces par courriel de l’industrie (Industry Email Threat Index) calculé en fonction du nombre de courriels de menace par rapport aux courriels propres reçus pour chaque industrie (en médiane).

Industries Ratio de courriels de menace par rapport aux courriels propres
Éducation 5.6
Santé 5.6
Fabrication 5.5
Recherche 5.4
Automobile 4.8
Médias 4.7
Construction 4.6
Services publics 4.4
Mines et carrières 4.1
Transport 4.0

Le graphique à barres suivant visualise la menace basée sur les courriels posée à chaque secteur.

Hornetsecurity Indice des menaces par courriel de l'industrie

Méthodologie

Différentes organisations reçoivent un nombre absolu de courriels différent selon leur taille. Ainsi, nous calculons le ratio de courriels de menace par rapport aux courriels propres en pourcentage des courriels reçus pour chaque organisation pour ainsi mieux les comparer. Nous calculons ensuite la médiane de ces valeurs en pourcentage pour toutes les organisations du même secteur pour former le score de menace final du secteur.

Marques et organisations usurpées

Le tableau suivant indique les marques d’entreprise et les organisations pour lesquelles nos systèmes ont le plus détectées dans les attaques d’usurpation d’identité.

Marque ou organisation usurpée %
Sparkasse 47.4
Volks- und Raiffeisenbank 17.7
Other 6.9
Deutsche Post / DHL 5.8
Amazon 5.4
DocuSign 4.4
PayPal 2.4
UPS 2.1
LinkedIn 1.5
Fedex 1.5

L’histogramme suivant montre le volume de courrielsmails pour les marques d’entreprise et les organisations détectées dans les attaques d’usurpation d’identité par heure.

Marques et organisations usurpées

On voit ici l’usurpation d’identité continue de deux associations bancaires allemandes pour propager le phishing.

Ransomleaks

Les cybercriminels continuent de divulguer des données volées aux victimes de rançongiciels pour les forcer à payer pour déchiffrer les fichiers et ne pas publier de données sensibles. Une pratique qu’on appelle le ransomleak. Notre surveillance automatisée a observé le nombre de fuites suivant sur les sites de fuite de ransomware (non protégés par CAPTCHAS):

Site de fuites Nombre de victime de fuites
Conti 65
Blackmatter 44
Pysa 27
Hive 8
Cuba 7
LV 6
REvil 4
Vice Society 4
Everest 3
Atomsilo 2
Bonaci 2
Xing Team 2
RansomEXX 1

Le graphique à barres suivant visualise le nombre de fuites de données sur les victimes par site de fuite.

Ransomleaks

Nous ajoutons les sites de fuite de ransomware suivants à notre surveillance:

  • Atomsilo

Atomsilo leak site

  • Blackmatter

Blackmatter leak site

  • Bonaci

Bonaci leak site

Le 04/10/21, Europol a annoncé deux arrestations et sept perquisitions immobilières en Ukraine en relation avec un gang de rançongiciels. Europol n’a pas nommé le gang de rançongiciels.1

Le 2021-10-26, Europol a annoncé une action contre 12 criminels impliqués dans les rançongiciels LockerGoga, MegaCortex et Dharma, entre autres.2

Le 29 octobre 2021, le ministère américain de la Justice a annoncé l’extradition d’un ressortissant russe de Corée du Sud vers les États-Unis pour son rôle présumé dans le développement et le déploiement du maliciel Trickbot.3

References