En moyenne, les entreprises sont victimes d'un malware toutes les trois minutes. C'est la conclusion du rapport du spécialiste de la sécurité FireEye qui a étudié des données recueillies à partir de 89 millions d'événements malveillants et de la veille assurée par ses équipes de recherche.

Le volume des  menaces varie selon le secteur d'activité. Le secteur technologique est le plus ciblé, avec près d'un événement par minute. Certains secteurs d'activité font l'objet d'attaques cycliques, tandis que d'autres les subissent de manière plutôt aléatoire. Ce rapport sur les menaces avancées donne une vue d'ensemble des attaques Web qui contournent les outils de sécurité que sont les pare-feux, les pare-feux de nouvelle génération (NGFW), les systèmes de prévention d'intrusion (IPS), les anti-virus (AV) et les autres passerelles de sécurité

Selon Fireye, la technique d'hameçonnage, ou phishing,  reste la méthode la plus utilisée pour initier une campagne d'APT (Advanced Persistent Threat). Lors de l'envoi des emails de phishing, les assaillants optent pour des noms de fichiers qui utilisent des termes métiers courants pour inciter des utilisateurs peu méfiants à ouvrir le fichier malveillant et initier ainsi l'attaque.

UPS très utilisé dans les noms de fichiers

Ces termes peuvent être classifiés en trois catégories : routage et livraison, finance et business général. À titre d'exemple, le terme le plus utilisé dans le nom des fichiers malveillants est « UPS ». Le fichier Zip constitue le format préféré pour acheminer les fichiers malveillants. Le malware est compressé en Zip dans 92% des attaques.

Certaines nouvelles tactiques favorisent davantage la furtivité. Des malware ont été identifiés pour ne s'exécuter que lorsque l'utilisateur bouge sa souris. Cette technique permet d'éviter de se faire détecter lors des analyses de sandbox, qui ne détectent ainsi aucune activité liée au malware.

D'autre part, les auteurs de malwares y intègrent des fonctions de détection des machines virtuelles, pour ainsi contourner le sandboxing. Enfin, les assaillants utilisent davantage les fichiers DLL en replacement du traditionnel .exe, pour initier les infections.