Des pics de virus à plus de 40% !

Spécialisés dans la protection de la messagerie électronique depuis 13 ans, nos passerelles telles qu’Altospam filtrent toutes les familles de virus, les spams, les scams, les phishings et les publicités. L’élimination des spams et des publicités peut être considérée comme du confort pour l’utilisateur, elle lui permet de gagner du temps et de rester concentré sur son travail. Par contre, le filtrage des virus agit directement sur la sécurité du réseau de votre entreprise et sur le respect de l’intégrité de votre système d’information.

C’est pourquoi nous portons une vigilance particulière et de tous les instants  à l’éradication des virus et autres malwares et  ransomwares. L’analyse suivante montre l’évolution récente de ces derniers.

Avec l’arrivée massive des ransomwares, le taux de virus présents dans les emails grimpe en trombe les jours d’attaques. Alors que le ratio du nombre de mails contenant un virus sur le nombre total de mails traités était depuis des années à une moyenne de 0.35%, depuis mi 2015 et surtout début 2016, le taux de virus dans les emails atteint des sommets.

Ci-dessous un graphique reprenant le taux moyen mensuel de virus dans les emails. Alors qu’il ne s’agit que d’une moyenne sur le mois, nous voyons qu’en février 2016 le taux a dépassé les 10% !

Pour rappel, début 2014 apparaissent les premiers ransomwares en France avec notamment des vagues de CryptoWall. Arrivent ensuite en Juillet et Octobre 2015 deux grosses vagues de Dridex (article sur le sujet : https://www.altospam.com/actualite/2015/07/vagues-dattaques-facture-macro-word-virus-dridex/  ) .

La courbe ci-dessous reprend jour par jour le taux de virus reçus depuis juillet 2015. En février 2016 Locky fait son apparition, avec des pics à plus de 40% du trafic (article sur Locky : https://www.altospam.com/actualite/2016/03/locky-ransomware-rage-france-aux-etats-unis/ ). Suivi dès mars de Petya.

Le graphe ci-dessous reprend les données entre février et mai 2016. Il permet de mettre en évidence de véritables attaques. Ces « vagues » d’attaques de ransomwares sont de plus en plus localisées, elles sont hyper concentrées. Un virus polymorphe inconnu est envoyé dans un email préétabli suivant une logique précise donnant envie de l’ouvrir (facture, commande, fax,…). Le fait d’être polymorphe et d’avoir une propagation très rapide rend les antivirus moins efficaces, il leur faut souvent plusieurs heures pour identifier le virus, créer une signature et la propager. Nous voyons d’ailleurs sur ce graphe que les attaques sont de plus en plus rapides, elles passent de 4-5 jours à 2 jours voire moins de 24 heures pour la dernière. Ce sont des attaques rapides et massives. Aujourd’hui la tendance générale des virus s’oriente plus vers des attaques concentrées. Il est donc probable que les ransomwares suivent cette orientation et que les attaques deviennent plus ciblées.

Dans tous les cas, il est évident que l’usage d’antivirus classiques n’est plus suffisant. Ceux-ci demeurent nécessaires mais doivent être complétés d’autres technologies plus réactives aux attaques.

C’est pour cela que nous avons intégré au niveau d’Altospam des technologies de détection de virus inconnus en plus des 5 antivirus inclus. Ces technologies : détection de fichiers suspects, analyse des macros, refus de certaines extensions, analyse antispam spécifique aux ransomwares sont décrites dans notre article : Forteresse anti-malware voir https://www.altospam.com/actualite/2014/02/la-forteresse-daltospam-les-malwares/