in

En France Qbot est le cheval de Troie bancaire qui aura été le plus diffusé en février.

Check Point Research annonce qu’après l’opération de police internationale qui a pris le contrôle d’Emotet en janvier, les cybercriminels se sont tournés vers Trickbot pour continuer leurs activités malveillantes.

Check Point Research (CPR), la branche de renseignement sur les menaces de Check Point® Software Technologies Ltd., l’un des principaux fournisseurs de solutions de cybersécurité dans le monde, a publié son Rapport de sécurité 2021. Les chercheurs ont découvert que le cheval de Troie Trickbot se classait en première position pour la première fois, après avoir occupé la troisième place en janvier.

Après le démantèlement du botnet Emotet en janvier, les chercheurs de Check Point informent que les groupes cybercriminels utilisent désormais de nouvelles techniques avec des malwares tels que Trickbot pour poursuivre leurs activités malveillantes. En février, Trickbot a été diffusé par le biais d’une campagne malveillante de spams visant à inciter les utilisateurs des secteurs juridiques et de l’assurance à télécharger un fichier .zip sur leur PC, contenant un fichier JavaScript malveillant. Une fois ce fichier ouvert, il tente de télécharger une autre charge utile malveillante depuis un serveur distant.

Trickbot était le quatrième logiciel malveillant le plus répandu dans le monde en 2020, impactant 8 % des organisations.  Il a joué un rôle clé dans l’une des cyberattaques les plus médiatisées et les plus coûteuses de 2020 et qui a touché Universal Health Services (UHS), l’un des principaux fournisseurs de soins de santé aux États-Unis. UHS a été touché par le logiciel rançonneur Ryuk, et a déclaré que l’attaque lui avait coûté 67 millions de dollars en pertes de revenus et en frais. Les attaquants se sont servis de Trickbot pour détecter et récolter les données des systèmes d’UHS, pour ensuite transmettre la charge utile du logiciel rançonneur.

Top 10 de la France
Nom_de famille_du logiciel malveillant Description Impact global Impact sur le pays
Qbot Qbot, alias Qakbot, est un cheval de Troie bancaire apparu en 2008, conçu pour dérober les informations d’identification bancaires et les frappes au clavier des utilisateurs. Souvent distribué par le biais de spams, Qbot se sert de plusieurs techniques anti-VM, anti-débogage et anti-sandbox, pour entraver l’analyse et ne pas être détecté. 2.94% 9.22%
Formbook Détecté pour la première fois en 2016, FormBook est un InfoStealer qui cible le système d’exploitation Windows. Il est commercialisé en tant que MaaS dans les forums de piratage clandestins pour ses solides techniques d’évasion et son prix relativement bas. FormBook recueille les informations d’identification de divers navigateurs Web, fait des captures d’écran, surveille et enregistre les frappes au clavier, et peut télécharger et exécuter des fichiers selon les ordres de son C&C. 2.33% 2.17%
Trickbot Un cheval de Troie bancaire modulaire qui cible la plateforme Windows, et qui est principalement diffusé via des campagnes de spam ou d’autres familles de logiciels malveillants telles qu’Emotet. Trickbot envoie des informations sur le système infecté et peut également télécharger et exécuter n’importe quel module parmi un large éventail disponible, notamment un module VNC pour le contrôle à distance, et un module SMB pour la propagation au sein d’un réseau compromis.  Une fois qu’une machine est infectée, le gang Trickbot, les auteurs de ce logiciel malveillant, utilisent ces modules non seulement pour voler des identifiants bancaires dans le PC cible, mais également pour se propager et effectuer des reconnaissances sur l’entreprise ciblée elle-même, avant de lancer une attaque ciblée de logiciel rançonneur à l’échelle de l’entreprise. 3.17% 1.95%
Dridex Dridex est un cheval de Troie bancaire qui cible la plate-forme Windows, on a observé qu’il était diffusé via des campagnes de spam et les kits d’exploitation, qui s’appuient sur les WebInjects pour intercepter et rediriger les références bancaires vers un serveur contrôlé par l’attaquant. Dridex contacte un serveur distant, envoie des informations sur le système infecté et peut également télécharger et exécuter des modules supplémentaires pour le contrôle à distance 1.59% 1.84%
SmokeLoader SmokeLoader est un cheval de Troie qui permet à un attaquant de contrôler à distance un ordinateur infecté et d’effectuer toute une série d’activités malveillantes, notamment télécharger et installer d’autres logiciels malveillants en fonction de la géolocalisation de la victime, et voler des mots de passe de clients FTP, de navigateurs, de clients de messagerie instantanée, de clients de poker et de messagerie électronique. SmokeLoader peut contourner l’UAC et plusieurs HIPS et peut désactiver les solutions antivirus. Il se propage grâce à plusieurs méthodes, entre autres via des kits d’exploitation et une campagne de spam spécifique proposant un petit-déjeuner gratuit chez McDonald’s. 0.32% 1.84%
Ramnit Ramnit est un cheval de Troie bancaire intégrant des fonctionnalités de mouvement latéral.  Il dérobe des informations de session web, permettant ainsi aux opérateurs du ver d’obtenir les identifiants de tous les services utilisés par les victimes, notamment les comptes bancaires, les comptes d’entreprise et les comptes de réseaux sociaux. 1.50% 1.30%
XMRig Apparu pour la première fois dans la nature en mai 2017, XMRig est un logiciel de minage de CPU open-source utilisé pour miner la crypto-monnaie Monero. 3.08% 1.30%
RigEK Rig EK est apparu pour la première fois en avril 2014. Depuis il a reçu plusieurs importantes mises à jour et continue d’être actif à ce jour. En 2015, à la suite d’une querelle interne entre ses opérateurs, le code source a été divulgué et a fait l’objet d’une enquête approfondie par les chercheurs. Rig comporte des exploitations de vulnérabilités pour Flash, Java, Silverlight et Internet Explorer. La chaîne d’infection commence par une redirection vers une page d’atterrissage contenant du code JavaScript qui vérifie la présence de plug-ins vulnérables et fournit l’exploitation. 1.46% 1.08%
Ryuk Ryuk est un logiciel rançonneur utilisé dans des attaques ciblées et bien planifiées contre plusieurs organisations dans le monde. Les capacités techniques du logiciel rançonneur sont relativement faibles et comprennent un dropper de base et un schéma de cryptage simple. Néanmoins, le logiciel rançonneur a provoqué de graves dommages aux organisations ciblées et les a amenées à payer des rançons extrêmement élevées, jusqu’à 320 000 dollars en BitCoin. Contrairement à la plupart des logiciels rançonneurs diffusés via des campagnes massives de spam et des kits d’exploitation, Ryuk est exclusivement utilisé pour des attaques sur mesure. Son système de cryptage est intentionnellement conçu pour des opérations à petite échelle, de sorte que seuls les biens et ressources essentiels sont infectés dans chaque réseau ciblé et que la diffusion est effectuée manuellement. Le logiciel malveillant crypte les fichiers stockés sur les PC, les serveurs de stockage et les centres de données. 1.16% 0.87%
Arkei Arket est un cheval de Troie voleur. Arkei vole des informations confidentielles, des identifiants de connexion et des clés privées de portefeuilles. 0.76% 0.87%

 

« Les criminels utiliseront toujours les menaces et les outils à leur disposition. Trickbot est populaire car il est polyvalent et qu’il a permis des attaques réussies dans le passé », a déclaré Maya Horowitz, directrice, Threat Intelligence & Research, Products chez Check Point. « Comme on peut s’y attendre, même si on élimine une menace majeure, de nombreuses autres présenteront toujours un risque élevé sur les réseaux du monde entier. Les organisations doivent donc s’assurer qu’elles disposent de systèmes de sécurité puissants pour empêcher que leurs réseaux ne soient compromis et minimiser les risques. Une formation complète des employés est indispensable, comme toujours, pour pouvoir identifier les types d’e-mails malveillants qui répandent Trickbot et d’autres logiciels malveillants. »

Check Point Research avertit également que l’« exécution de code à distance MVPower DVR » est la vulnérabilité exploitée la plus courante, touchant 48% des organisations mondiales, suivie par l’ « exécution de code à distance des en-têtes HTTP (CVE-2020-13756)» qui touche 46% des organisations dans le monde. L’« exécution de code à distance MVPower DVR» occupe la troisième place dans la liste des vulnérabilités les plus exploitées, avec un impact global de 45 %.

Principales familles de logiciels malveillants

* Les flèches indiquent le changement de position par rapport au mois précédent.

Ce mois-ci, Trickbot est le logiciel malveillant le plus populaire, touchant 3 % des entreprises au niveau mondial, suivi de près par XMRig et Qbot, qui touchent chacun 3 % des entreprises.

  1. Trickbot – Trickbot est un botnet dominant et un cheval de Troie bancaire constamment mis à jour avec de nouvelles capacités, fonctionnalités et vecteurs de distribution. Trickbot peut ainsi être un malware flexible et personnalisable et être distribué dans le cadre de campagnes polyvalentes.
  2. XMRig – XMRig est un logiciel de minage de CPU open-source utilisé sur la crypto-monnaie Monero et apparu la première fois en mai 2017.
  3. Qbot – Qbot est un cheval de Troie bancaire apparu en 2008, conçu pour voler les informations d’identification bancaires et les frappes des utilisateurs. Souvent diffusé via spams, Qbot utilise plusieurs techniques anti-VM, anti-débogage et anti-sandbox pour bloquer l’analyse et échapper à la détection.

 

Principales vulnérabilités exploitées

Ce mois-ci, la « Récupération d’informations sur le référentiel Git d’un serveur web exposé » est la plus couramment exploitée, touchant 48% des organisations dans le monde, suivie de près par l’ « exécution de code à distance des en-têtes HTTP (CVE-2020-13756) » qui touche 46% des entreprises dans le monde. L’ « exécution de code à distance MVPower DVR » occupe la troisième place dans la liste des vulnérabilités les plus exploitées, avec un impact global de 45 %.

  1. Récupération d’informations sur le référentiel Git d’un serveur web exposé– Une vulnérabilité de récupération d’informations a été signalée dans le référentiel Git. Une exploitation réussie de cette vulnérabilité permettrait la publication non intentionnelle d’informations de compte.
  2. Exécution de code à distance des en-têtes HTTP (CVE-2020-13756) – Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter un code arbitraire sur la machine de la victime.
  3. Exécution de code à distance MVPower DVR – Une vulnérabilité d’exécution de code à distance existe dans les appareils MVPower DVR. Un pirate peut exploiter cette faiblesse pour exécuter du code arbitraire dans le routeur concerné via une requête spécialement conçue.

 

Principales familles de logiciels malveillants mobiles

Ce mois-ci, Hiddad occupe la 1ère place parmi les logiciels malveillants mobiles les plus répandus, suivi de xHelper et FurBall.

  1. Hiddad – Un logiciel malveillant Android reconditionnant des applications légitimes, puis les publiant dans une boutique d’applications tierce. Il a pour principale fonction d’afficher des publicités, mais peut également accéder aux informations de sécurité clés intégrés dans le système d’exploitation.
  2. xHelper – Une application malveillante découverte en mars 2019, utilisée pour télécharger d’autres applications malveillantes et afficher des publicités. L’application est capable d’échapper à l’attention des utilisateurs, et de se réinstaller en cas de désinstallation.
  1. FurBall – FurBall est un MRAT (cheval de Troie d’accès à distance mobile) Android déployé par APT-C-50, un groupe APT iranien lié au gouvernement iranien. Ce malware a été utilisé dans de multiples campagnes remontant à 2017, et est toujours actif aujourd’hui. Les capacités de FurBall incluent le vol de SMS, l’historique des appels, l’enregistrement surround, l’enregistrement d’appels, la collecte de fichiers multimédias, le suivi de localisation, etc.

L’indice Check Point des menaces et la carte ThreatCloud sont alimentés par des renseignements issus de Check Point ThreatCloud, le plus grand réseau collaboratif de lutte contre la cybercriminalité, qui fournit des données et des tendances sur les menaces et les attaques grâce à un réseau mondial de capteurs. La base de données ThreatCloud inspecte plus de 3 milliards de sites web et 600 millions de fichiers par jour, et identifie plus de 250 millions d’activités de logiciels malveillants chaque jour.

La liste complète des 10 principales familles de logiciels malveillants en février est disponible sur le blog de Checkpoint.

Morgane
Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

Written by Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.