in

En France les logiciels malveillants les plus recherchés en Janvier 2021 : Emotet règne toujours malgré avoir été démantelé

Check Point Research dénonce qu’Emotet, le virus troyen est toujours en tête de la liste des malwares au mois de janvier, bien que ses infrastructures soient tombées entre les mains des autorités internationales et ait ainsi entrainé une réduction de son impact mondial de 14%.

Check Point Research, la branche de Check Point® Software Technologies Ltd. spécialisée dans le renseignements sur les menaces (Code NASDAQ: CHKP), l’un des principaux fournisseurs de solutions de cybersécurité au niveau mondial, a publié son dernier Global Threat Index pour janvier 2021. Les chercheurs ont indiqué que le cheval de Troie Emotet est resté en première place dans la liste des principaux logiciels malveillants pour le deuxième mois consécutif, touchant 6 % des organisations dans le monde, malgré une opération policière internationale qui a pris le contrôle du botnet le 27 janvier.

Top 10 des malwares en France, Janvier 2021
Famille de malware Description Impact mondial Impact en France
Emotet Emotet est un cheval de Troie avancé, auto-propagé et modulaire. Autrefois utilisé en tant que cheval de Troie bancaire, il distribue actuellement d’autres logiciels ou campagnes malveillants. Emotet s’appuie sur de multiples méthodes pour maintenir la persistance ainsi que des techniques d’évasion afin d’éviter la détection. Il peut se propager par le biais de courriels de spam d’hameçonnage contenant des pièces jointes ou des liens malveillants.

 

6.38% 7.30%
Dridex Dridex est un cheval de Troie bancaire qui cible la plate-forme Windows. Diffusé sous forme de campagnes de spam et de kits d’exploitation, il s’appuie sur les WebInjects pour intercepter et rediriger les références bancaires vers un serveur contrôlé par l’attaquant. Ainsi, Dridex contacte un serveur distant puis envoie les informations sur le système infecté. Il peut également télécharger et exécuter des modules supplémentaires pour le contrôle à distance.

 

3.28% 2.90%
Trickbot Trickbot est un cheval de Troie bancaire modulaire qui cible la plate-forme Windows, principalement par le biais de campagnes de spam ou d’autres familles de logiciels malveillants, telles qu’Emotet. Trickbot envoie des informations sur le système infecté. Il peut également télécharger et exécuter des modules arbitraires parmi un large éventail de modules disponibles : d’un module VNC pour le contrôle à distance, à un module SMB pour la diffusion au sein d’un réseau compromis. Dès qu’une machine est infectée, le gang Trickbot – les attaquants derrière ce logiciel malveillant – utilisent ce large éventail de modules pour, non seulement voler les références bancaires du PC cible, mais également pour effectuer un mouvement latéral et une reconnaissance sur l’organisation ciblée elle-même, avant de lancer une attaque rançongicielle ciblée à l’échelle de l’entreprise. 3.67% 2.79%
Formbook Détecté pour la première fois en 2016, FormBook est un InfoStealer qui cible le système d’exploitation Windows. Il est commercialisé sous forme de MaaS dans des forums de piratage souterrains. Il est réputé pour ses puissantes techniques d’évasion et son prix relativement bas. FormBook récolte des informations d’identification sur différents navigateurs web, collecte des captures d’écran, surveille et enregistre les frappes au clavier et peut télécharger et exécuter des fichiers selon les ordres de ses C&C (Commande et Contrôle). 2.79% 2.58%
Smokeloader SmokeLoader est un cheval de Troie qui permet à un attaquant de contrôler à distance un ordinateur infecté et d’effectuer toute une série d’activités malveillantes, telles que télécharger et installer d’autres logiciels malveillants basés sur la localisation géographique de la victime, mais également voler des mots de passe de clients FTP, de navigateurs, de clients de messagerie instantanée, de clients de poker et de clients de messagerie électronique. SmokeLoader peut contourner l’UAC (Contrôle du Compte Utilisateur) et plusieurs HIPS (système de prévention d’intrusion basé sur hôte). Il peut également désactiver les solutions antivirus. Il est diffusé de différentes manières, notamment par des kits d’exploitation et une campagne de spam spécifique offrant un petit déjeuner gratuit au McDonald’s. 0.35% 2.36%
Phorpiex Phorpiex est un botnet (alias Trik) existant depuis 2010, qui, à son apogée, a contrôlé plus d’un million d’hôtes infectés. Il est connu pour distribuer d’autres familles de logiciels malveillants par le biais de campagnes de spam ainsi que pour alimenter des campagnes de spam et de sextorsion à grande échelle. 3.92% 2.36%
Siggen5 Siggen5 est un cheval de Troie qui enregistre les frappes de l’utilisateur et les envoie à un attaquant distant. Il peut recueillir des informations système, telles que les noms d’utilisateur et les mots de passe. 0.23% 1.83%
Hiddad Hiddad est un malware Android qui reconditionne des applications légitimes et les diffuse ensuite dans un magasin tiers. Sa principale fonction est d’afficher des publicités, mais il peut également accéder à des détails de sécurité clés intégrés au système d’exploitation. 2.65% 1.83%
XMRig Vu pour la première fois en mai 2017, XMRig est un logiciel open-source de minage de CPU utilisé pour miner la cryptomonnaie Monero. 3.23% 1.83%
Razy Razy est un cheval de Troie rançongiciel qui cible la plateforme Windows. Le logiciel malveillant crypte les fichiers et installe une extension de navigateur web malveillante qui manipule le navigateur web. 0.26% 1.72%

Le démantèlement opéré par la police a entraîné une diminution de 14% du nombre des organisations touchées par l’activité d’Emotet. Les autorités prévoient de désinstaller massivement Emotet des serveurs infectés le 25 avril. Malgré cela, Emotet a conservé la première place dans le Global Threat Index, soulignant le vaste impact mondial de ce botnet. La campagne de spam malveillants d’Emotet se sert de plusieurs supports pour se propager, que ce soient des liens intégrés, des documents en fichiers joints ou des fichiers Zip protégés par un mot de passe.

Identifié pour la première fois en 2014, les développeurs d’Emotet l’ont régulièrement actualisé pour s’assurer que son activité malveillante restait efficace.  Le Ministère américain de la sécurité intérieure estime que le montant de chaque incident engendré par Emotet peut atteindre 1 million de dollars pour les organisations concernées.

« Emotet est l’une des variantes de logiciel malveillant les plus coûteuses et les plus destructrices jamais vues. L’effort conjoint des organes de répression pour l’éliminer a été essentiel et représente un formidable succès » a déclaré Maya Horowitz, Directrice de Threat Intelligence et Recherche, Produits à Checkpoint.

« Cependant, de nouvelles menaces prendront toujours le relais pour les remplacer et les organisations doivent s’assurer de l’efficacité de leurs systèmes de sécurité pour ne faire courir aucun risque à leur réseau. Une formation complète des employés est indispensable, comme toujours, pour pouvoir identifier les types d’e-mails malveillants qui répandent des chevaux de Troie et des bots furtifs ».

Check Point Research avertit également que « Exécution de code à distance MVPower DVR » est la vulnérabilité exploitée la plus courante, touchant 43% des organisations mondiales, suivie par le « Headers HTTP Exécution de code à distance (CVE-2020-13756) » qui touche 42% des organisations dans le monde. « Contournement d’authentification du routeur Dasan GPON (CVE-2018-10561) » occupe la troisième place dans la liste des vulnérabilités les plus exploitées, avec un impact global de 41%.

Principales familles de logiciels malveillants

*Les flèches concernent le changement de rang par rapport au mois précédent

Ce mois-ci, Emotet est le malware le plus populaire avec un impact global de 6% des organisations, suivi de près par Phorpiex et Trickbot – qui ont tous deux un impact de 4% des organisations dans le monde.

  1. Emotet – Emotet est un cheval de Troie avancé, auto propagé et modulaire. Emotet était avant un cheval de Troie bancaire, et a récemment été utilisé comme distributeur d’autres malware ou de campagnes malveillantes. Il utilise de méthodes multiples pour maintenir sa pérennité et des techniques d’évasion pour éviter d’être détecté. De plus, il peut être diffusé par des campagnes de phishing contenant des pièces jointes ou des liens malveillants.
  2. Phorpiex – Phorpiex est un botnet connu pour distribuer d’autres familles de logiciels malveillants via des campagnes de spam ainsi que pour alimenter des campagnes de sextorsion à grande échelle.
  3. Trickbot – Trickbot est un cheval de Troie bancaire dominant qui est constamment mis à jour avec de nouvelles capacités, fonctionnalités et vecteurs de distribution. Cela permet à Trickbot d’être un malware flexible et personnalisable qui peut être distribué dans le cadre de campagnes à buts multiples.

Principales vulnérabilités exploitées

Ce mois-ci, « Exécution de code à distance MVPower DVR » est la vulnérabilité exploitée la plus courante, touchant 43% des organisations dans le monde, suivie par « Headers HTTP Exécution de code à distance (CVE-2020-13756) » qui touche 42% des organisations dans le monde. « Contournement d’authentification du routeur Dasan GPON (CVE-2018-10561) » se situe à la troisième place dans la liste des vulnérabilités les plus exploitées, avec un impact global de 41%.

  1. Exécution de code à distance MVPower DVR – la vulnérabilité d’exécution de code à distance qui existe dans les appareils MVPower DVR. Un attaquant distant peut exploiter cette faiblesse pour exécuter un code arbitraire dans le routeur concerné via une requête élaborée.
  2. Headers HTTP Exécution de code à distance (CVE-2020-13756) – Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires par le biais d’une requête HTTP. Un attaquant à distance peut utiliser un en-tête HTTP vulnérable pour exécuter un code arbitraire sur la machine touchée.
  1. ↑ Contournement d’authentification du routeur Dasan GPON (CVE-2018-10561) – Une faille de contournement d’authentification qui existe dans les routeurs GPON Dasan. L’exploitation réussie de cette vulnérabilité permet aux attaquants à distance d’obtenir des informations sensibles et d’accéder sans autorisation au système concerné.

Les principaux malwares mobiles

Ce mois-ci, Hiddad reste le malware mobile le plus répandu, suivi par xHelper et Lotoor.

  1. Hiddad – Hiddad est un malware Android qui reconditionne des applications légitimes pour les rediffuser ensuite dans un magasin tiers. Sa principale fonction est d’afficher des publicités, mais il peut également accéder aux principaux détails de sécurité intégrés dans le système d’exploitation.
  2. xHelper – Une application malveillante vue dans la nature depuis mars 2019, utilisée pour télécharger d’autres applications malveillantes et afficher de la publicité. L’application est capable de se cacher de l’utilisateur et de se réinstaller au cas où elle aurait été désinstallée.
  3. Triada – Porte dérobée modulaire pour Android qui accorde des privilèges de super-utilisateur aux logiciels malveillants téléchargés.

Le Global Threat Impact Index de Check Point et sa carte ThreatCloud sont alimentés par les enseignements ThreatCloud de Check Point, le plus grand réseau collaboratif de lutte contre la cybercriminalité qui fournit des données sur les menaces et les tendances des attaques à partir d’un réseau mondial de capteurs de menaces. La base de données ThreatCloud inspecte plus de 3 milliards de sites web et 600 millions de fichiers par jour, et identifie plus de 250 millions d’activités de logiciels malveillants chaque jour.

La liste complète des dix principales familles de logiciels malveillants en janvier peut être consultée sur le blog de Check Point.

Morgane
Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

Written by Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.