Le dernier Global Threat Index par Check Point Software Technologies pour octobre 2020 a révélé que les chevaux de Troie Trickbot et Emotet continuent de se classer parmi les deux logiciels malveillants les plus répandus en octobre, et que les chevaux de Troie sont responsables de la forte augmentation des attaques de logiciels contre les hôpitaux et les prestataires de soins de santé dans le monde.
Le FBI et d’autres agences gouvernementales américaines ont récemment publié un avertissement concernant les attaques de logiciels contre le secteur de la santé, mettant en garde contre le fait que les infections Trickbot, estimées à plus d’un million dans le monde, sont utilisées pour télécharger et diffuser des logiciels de cryptage de fichiers tels que Ryuk. Ryuk est également distribué via le cheval de Troie Emotet, qui reste en première place dans l’index des principaux logiciels malveillants pour le quatrième mois consécutif.
Les données de renseignement sur les menaces de Check Point ont montré que le secteur de la santé était le plus ciblé par les rançons aux États-Unis en octobre, avec des attaques en hausse de 71 % par rapport à septembre 2020. De même, les attaques de rançon contre les organismes de santé et les hôpitaux en octobre ont augmenté de 36 % dans la zone EMEA et de 33 % dans la zone APAC.
Les chercheurs de Check Point avertissent qu’ils ont constaté une augmentation des attaques de logiciels contre rançon depuis le début de la pandémie de coronavirus, pour essayer de tirer parti des lacunes en matière de sécurité alors que les organisations se bousculent pour soutenir les travailleurs à distance. Ces attaques ont augmenté de façon alarmante au cours des trois derniers mois, en particulier dans le secteur de la santé, et sont dues à des infections préexistantes de type TrickBot et Emotet. Check Point demande instamment aux organismes de santé du monde entier d’être particulièrement vigilants face à ce risque et de rechercher ces infections avant qu’elles ne causent de réels dommages en servant de passerelle vers une attaque par logiciel rançon.
L’équipe de recherche met également en garde contre le fait que le “MVPower DVR Remote Code Execution” est la vulnérabilité exploitée la plus courante, avec un impact sur 43% des organisations dans le monde, suivie par le “Dasan GPON Router Authentication Bypass” et le “HTTP Headers Remote Code Execution (CVE-2020-13756)”, qui touchent tous deux 42% des organisations dans le monde.
Principales familles de logiciels malveillants
*Les flèches concernent le changement de rang par rapport au mois précédent.
Ce mois-ci, Emotet reste le malware le plus populaire avec un impact global de 12% des organisations, suivi de Trickbot et Hiddad qui ont tous deux un impact de 4% des organisations dans le monde.
↔ Emotet – Emotet est un cheval de Troie avancé, autopropagé et modulaire. Emotet était autrefois utilisé comme cheval de Troie bancaire, et a récemment été utilisé comme distributeur d’autres logiciels malveillants ou de campagnes malveillantes. Il utilise de multiples méthodes pour maintenir la persistance et des techniques d’évasion pour éviter la détection. En outre, il peut être diffusé par le biais de courriels de spam de phishing contenant des pièces jointes ou des liens malveillants.
↔ Trickbot – Trickbot est un cheval de Troie bancaire dominant qui est constamment mis à jour avec de nouvelles capacités, fonctionnalités et vecteurs de distribution. Cela permet à Trickbot d’être un malware flexible et personnalisable qui peut être distribué dans le cadre de campagnes à objectifs multiples.
↑ Hiddad – Hiddad est un malware Android qui reconditionne des applications légitimes et les diffuse ensuite dans un magasin tiers. Sa principale fonction est d’afficher des publicités, mais il peut également accéder à des détails de sécurité clés intégrés au système d’exploitation.
↓ Dridex – Dridex est un cheval de Troie qui cible la plate-forme Windows et qui serait téléchargé via une pièce jointe à un courriel de spam. Dridex contacte un serveur distant et envoie des informations sur le système infecté. Il peut également télécharger et exécuter des modules arbitraires reçus du serveur distant.
↑ Formbook – Formbook est un voleur d’informations qui récolte les informations d’identification de divers navigateurs web, collecte des captures d’écran, surveille et enregistre les frappes au clavier, et peut télécharger et exécuter des fichiers selon ses ordres C&C.
↔ Qbot – Qbot est un cheval de Troie bancaire apparu pour la première fois en 2008, conçu pour voler aux utilisateurs les références bancaires et les frappes de clavier. Souvent distribué par des courriers électroniques non sollicités, Qbot utilise plusieurs techniques anti-VM, anti-débogage et anti-sandbox, pour entraver l’analyse et échapper à la détection.
↓ XMRig – XMRig est un logiciel open-source d’extraction de CPU utilisé pour le processus d’extraction de la monnaie cryptographique Monero, et vu pour la première fois dans la nature en mai 2017.
↑ Zloader – Zloader est un descendant de l’omniprésent malware bancaire Zeus qui utilise des webinjects pour voler les identifiants, les mots de passe et les cookies stockés dans les navigateurs web, ainsi que d’autres informations sensibles des clients des banques et des institutions financières. Le malware permet aux attaquants de se connecter au système infecté via un client informatique de réseau virtuel, afin de pouvoir effectuer des transactions frauduleuses à partir de l’appareil de l’utilisateur.
↑ XHelper – xHelper est une application malveillante vue dans la nature depuis mars 2019, utilisée pour télécharger d’autres applications malveillantes et afficher de la publicité. L’application est capable de se cacher de l’utilisateur et de se réinstaller au cas où elle serait désinstallée.
↓ Ramnit – Ramnit est un cheval de Troie bancaire qui vole les références bancaires, les mots de passe FTP, les cookies de session et les données personnelles.
Les principales vulnérabilités exploitées
Ce mois-ci, “MVPower DVR Remote Code Execution” est la vulnérabilité exploitée la plus courante, avec un impact sur 43% des organisations dans le monde, suivie par “Dasan GPON Router Authentication Bypass” et “HTTP Headers Remote Code Execution (CVE-2020-13756)”, les deux ayant un impact sur 42% des organisations dans le monde.
↔ MVPower DVR Remote Code Execution – la vulnérabilité de l’exécution de code à distance existe dans les appareils MVPower DVR. Un attaquant distant peut exploiter cette faiblesse pour exécuter du code arbitraire dans le routeur affecté via une requête élaborée.
↔ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Faille de contournement de l’authentification qui existe dans les routeurs GPON Dasan. Une exploitation réussie de cette vulnérabilité permettrait à des attaquants distants d’obtenir des informations sensibles et d’accéder sans autorisation au système concerné.
↑ HTTP Headers Remote Code Execution (CVE-2020-13756) – Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires par le biais d’une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter un code arbitraire sur la machine victime.
↑ Draytek Vigor Command Injection (CVE-2020-8515) – Une vulnérabilité d’injection de commandes existe dans Draytek Vigor. Une exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant distant d’exécuter du code arbitraire sur le système affecté.
↓ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160 ; CVE-2014-0346) – Une vulnérabilité à la divulgation d’informations existe dans OpenSSL. La vulnérabilité est due à une erreur lors de la manipulation des paquets TLS/DTLS heartbeat. Un attaquant peut exploiter cette vulnérabilité pour divulguer le contenu de la mémoire d’un client ou d’un serveur connecté.
↑ WordPress portable-phpMyAdmin Plugin Authentication Bypass (CVE-2012-5469) – Faille de contournement de l’authentification qui existe dans WordPress portable-phpMyAdmin Plugin. Une exploitation réussie de cette vulnérabilité permettrait à des attaquants distants d’obtenir des informations sensibles et d’accéder sans autorisation au système concerné.
↓ Web Server Exposed Git Repository Information Disclosure – Une vulnérabilité de divulgation d’informations qui a été signalée dans Git Repository. Une exploitation réussie de cette vulnérabilité pourrait permettre une divulgation involontaire d’informations sur les comptes.
↔ Injection SQL (plusieurs techniques) – Insertion d’une injection de requête SQL en entrée du client vers l’application, tout en exploitant une vulnérabilité de sécurité dans le logiciel d’une application.
↑ Scanner de sécurité w00tw00t – w00tw00t est un produit d’analyse des vulnérabilités. Les attaquants à distance peuvent utiliser w00tw00t pour détecter des vulnérabilités sur un serveur cible.
↑ PHP DIESCAN information disclosure – Une vulnérabilité de divulgation d’information a été signalée dans les pages PHP. Une exploitation réussie pourrait conduire à la divulgation d’informations sensibles sur le serveur.
Top Malwares sur Mobiles
Ce mois-ci, Hiddad est le malware le plus répandu sur les téléphones portables, suivi de xHelper et Lotoor.
Hiddad – Hiddad est un malware Android qui reconditionne des applications légitimes et les diffuse ensuite dans un magasin tiers. Sa principale fonction est d’afficher des publicités, mais il peut également accéder à des détails de sécurité clés intégrés au système d’exploitation.
xHelper – xHelper est une application malveillante vue dans la nature depuis mars 2019, utilisée pour télécharger d’autres applications malveillantes et afficher des publicités. L’application peut se cacher de l’utilisateur et se réinstaller au cas où elle serait désinstallée.
Lotoor – Lotoor est un outil de piratage qui exploite les vulnérabilités du système d’exploitation Android afin d’obtenir les privilèges de root sur les appareils mobiles compromis.
Top 10 en France
Emotet Un cheval de Troie avancé, modulaire et capable de se propager par ses propres moyens, qui était autrefois utilisé comme cheval de Troie bancaire, et qui diffuse actuellement d’autres logiciels malveillants ou campagnes malveillantes. Il utilise plusieurs techniques de persistance et d’évasion pour échapper à toute détection, et peut être transmis via des emails de spam et de phishing contenant des pièces jointes ou des liens malveillants. 13,76 % 16,44 %
Formbook Un voleur d’informations détecté pour la première fois en 2016, qui cible le système d’exploitation Windows. Connu pour ses techniques de fraude avancées, il est commercialisé sous forme de service dans les forums de piratage underground à un prix relativement bas. ForBook collecte des identifiants dans différents navigateurs web, effectue des captures d’écran, surveille et enregistre les frappes au clavier, et télécharge et exécute des fichiers en fonction des ordres reçus depuis un serveur de commande et de contrôle. 1,15 % 5,80 %
Qbot Qbot, alias Qakbot, est un cheval de Troie bancaire apparu pour la première fois en 2008. Il est conçu pour voler des identifiants bancaires et les frappes au clavier des utilisateurs. Souvent diffusé par email, Qbot utilise plusieurs techniques de contournement des VM, des débogueurs et des bacs à sable, pour empêcher les analyses et échapper à la détection. 1,67 % 4,64 %
Trickbot Un cheval de Troie bancaire modulaire qui cible la plateforme Windows, et qui est principalement diffusé via des campagnes de spam ou d’autres familles de logiciels malveillants telles qu’Emotet. Trickbot envoie des informations sur le système infecté et peut également télécharger et exécuter n’importe quel module parmi un large éventail disponible, notamment un module VNC pour le contrôle à distance, et un module SMB pour la propagation au sein d’un réseau compromis. Une fois qu’une machine est infectée, le gang Trickbot, les auteurs de ce logiciel malveillant, utilisent ces modules non seulement pour voler des identifiants bancaires dans le PC cible, mais également pour se propager et effectuer des reconnaissances sur l’entreprise ciblée elle-même, avant de lancer une attaque ciblée de logiciel rançonneur à l’échelle de l’entreprise. 3,77 % 3,58 %
Zloader Un descendant du logiciel malveillant bancaire Zeus omniprésent qui utilise des WebInjects pour voler les identifiants, les mots de passe et les cookies stockés dans les navigateurs web, ainsi que d’autres informations sensibles des clients de banques et d’institutions financières. Il permet aux pirates de se connecter au système infecté par l’intermédiaire d’un client de réseau virtuel, afin d’effectuer des transactions frauduleuses à partir de l’appareil de l’utilisateur. 0,38 % 2,32 %
Dridex Un cheval de Troie bancaire qui cible la plateforme Windows. Il est diffusé par des campagnes de spam et des kits d’exploitation de vulnérabilités, et s’appuie sur des WebInjects pour intercepter et rediriger les identifiants bancaires vers un serveur contrôlé par les pirates. Dridex contacte un serveur distant, envoie des informations sur le système infecté, et peut également télécharger et utiliser des modules supplémentaires pour le contrôle à distance. 3,04 % 2,32 %
Hiddad Un logiciel malveillant Android reconditionnant des applications légitimes, puis les publiant dans une App Store tierce. Il a pour principale fonction d’afficher des publicités, mais peut également accéder aux informations de sécurité clés intégrés dans le système d’exploitation 0,11 % 1,58 %
XMRig Un logiciel open source utilisant les ressources du processeur pour extraire de la cryptomonnaie Monero, découvert en mai 2017. 2,08 % 1,37 %
Fakealert Une porte dérobée téléchargeant et installant d’autres logiciels malveillants. L’échantillon analysé télécharge le logiciel de protection contre les logiciels espions « Antivirus Pro 2009 », affiche des popups et modifie de nombreux paramètres du système et de la sécurité. 0,38 % 1,16 %
Kryptik Un cheval de Troie ciblant la plate-forme Microsoft Windows, qui collecte des informations sur le système pour les envoyer à un serveur distant. Il peut télécharger et exécuter d’autres fichiers malveillants sur les systèmes infectés. 0,50 % 1,16 %