DIGITAL SOLUTIONS
Le maliciel le plus recherché en décembre 2019
Le maliciel le plus recherché en décembre 2019 : des pourriels sur le thème de Noël et de Greta Thunberg ont propagé le maliciel Emotet
January 21, 2020
Les chercheurs de Check Point signalent par ailleurs une nette augmentation des attaques visant la vulnérabilité “Command Injection Over HTTP” – 33% des entreprises ont été touchées à travers le monde.
Zaventem – Check Point Research, la division Analyse des menaces de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), éminent fournisseur international de solutions de cyber-sécurité, a publié la dernière édition en date de son Indice international des Menaces pour le mois de décembre 2019. L’équipe de chercheurs signale que, pour le troisième mois d’affilée, Emotet s’est avéré être la principale menace malicielle et s’est propagé en s’appuyant sur des campagnes de pourriels incluant les intitulés “Support Greta Thunberg – Time Person of the Year 2019” et “Christmas Party!”.
Les courriels diffusés par ces deux campagnes incluaient un document Microsoft Word malveillant qui, une fois ouvert par le destinataire, tentait de télécharger Emotet sur son ordinateur. Emotet est essentiellement utilisé comme vecteur de rançongiciels ou d’autres types de campagnes malveillantes.
On a assisté, en décembre, à une augmentation significative du nombre de tentatives visant à exploiter la vulnérabilité “Command Injection Over HTTP” : 33% des entreprises, à travers le monde, ont été prises pour cible. Classée 5ème en novembre dans la liste des failles les plus exploitées, cette vulnérabilité s’est hissée en première position le mois dernier. En cas d’attaque fructueuse, le contenu se révélait être un botnet DDoS: le fichier malveillant utilisé dans l’attaque comportait également un nombre de liens vers des contenus exploitant des vulnérabilités au sein de divers dispositifs IoT provenant de fabricants tels que D-Link, Huawei et RealTek. Le but était de transformer ces dispositifs en botnets.
« Ces trois derniers mois, les menaces qui ont touché la plupart des entreprises ont pris la forme de maliciels polyvalents et multi-finalités, du genre Emotet et xHelper. Ils procurent aux cyber-criminels de multiples possibilités de monétiser leurs attaques dans la mesure où ils peuvent être utilisés pour distribuer des rançongiciels ou pour propager d’autres campagnes de pourriels », déclare Maya Horowitz, directrice Threat Intelligence & Research, en charge des produits, chez Check Point. « Le but des criminels est de prendre pied dans un nombre le plus élevé possible d’entreprises et de systèmes de telle sorte que les attaques ultérieures soient plus lucratives et plus préjudiciables. Il est dès lors vital que les entreprises sensibilisent leurs employés aux risques que représentent l’ouverture de pièces jointes à des courriels, le téléchargement de contenus ou encore le fait d’activer des liens qui ne proviennent pas d’une source ou d’un contact digne de confiance. »
Top 3 des maliciels “les plus recherchés” en décembre 2019 :
*Les flèches font référence à l’évolution du classement par comparaison au mois précédent.
A l’échelle mondiale, Emotet a touché 13% des entreprises en décembre, alors que son taux de nuisance était de 9% en novembre. XMRig et Trickbot ont chacun touché 7% des entreprises.
- ↔ Emotet – Emotet est un cheval de Troie sophistiqué, modulaire et capable de s’auto-propager. Par le passé, Emotet opérait comme cheval de Troie bancaire. Il a récemment été utilisé comme un distributeur d’autres maliciels ou de campagnes malveillantes. Il recourt à de multiples méthodes pour préserver sa persistance et à des techniques de dissimulation afin d’éviter d’être détecté. Il peut en outre être diffusé par le biais de pourriels de type hameçonnage contenant des pièces jointes ou des liens malveillants.
- ↔ XMRig – XMRig est un logiciel open source de minage de CPU utilisé pour le processus de minage de la crypto-monnaie Monero ; il a été repéré pour la première fois en mai 2017.
- ↔ Trickbot – Trickbot est un cheval de Troie bancaire majeur qui est constamment mis à jour à l’aide de nouveaux potentiels, fonctions et vecteurs de distribution. Cela permet à Trickbot d’opérer comme un maliciel évolutif, personnalisable, qui peut être distribué dans le cadre de campagnes multi-objectifs.
Top 3 des maliciels mobiles “les plus recherchés” en décembre :
xHelper et Guerrilla continuent d’occuper les deux premières places dans le répertoire des maliciels mobiles.
- ↔ xHelper – Une application Android malveillante observée sur la Toile depuis mars 2019 et utilisée pour le téléchargement d’autres applis malveillantes et l’affichage de publicités. L’application est capable de se dissimuler pour échapper à la vigilance de l’utilisateur et des programmes anti-virus mobiles, et de se réinstaller si l’utilisateur la désinstalle.
- ↔ Guerrilla – Un cheval de Troie Android inséré dans une multitude d’applis légitimes et capable de télécharger des contenus malveillants additionnels. Guerrilla génère des revenus publicitaires frauduleux pour les développeurs d’applis.
- ↑ Hiddad – Maliciel Android qui reconditionne des applis légitimes et les publie ensuite sur une e-boutique tierce. Sa principale fonction est l’affichage de publicités mais il est également capable de se ménager un accès à des détails de sécurité importants, intégrés au système d’exploitation.
Les vulnérabilités “les plus exploitées” en décembre :
La vulnérabilité la plus communément exploitée fut la “Command Injection Over HTTP”, touchant 33% des entreprises à travers le monde. La deuxième place a été occupée par la vulnérabilité “MVPower DVR Remote Code Execution”, qui a touché 32% des entreprises, suivie par la “Web Server Exposed Git Repository Information Disclosure” qui a touché 29% des entreprises.
- ↑ Command Injection Over HTTP – Une vulnérabilité d’injection de commande sur HTTP qui peut être exploitée par un pirate opérant à distance via l’envoi à la victime d’une requête conçue sur-mesure. Une tentative fructueuse d’exploitation permettrait alors au pirate d’exécuter un code arbitraire sur le système de la cible.
- ↔ MVPower DVR Remote Code Execution – Une vulnérabilité d’exécution de code à distance existant au sein de dispositifs DVR MVPower. Un pirate, opérant à distance, peut exploiter cette faille afin d’exécuter du code arbitraire dans le routeur infecté au moyen d’une requête conçue spécifiquement à cet effet.
- ↑ Web Server Exposed Git Repository Information Disclosure – Une vulnérabilité de divulgation d’informations a été signalée dans Git Repository. Si cette vulnérabilité devait être exploitée avec succès, cela permettrait de divulguer des informations de compte de manière non intentionnelle.
L’Indice international d’Impact des Menaces de Check Point et sa carte ThreatCloud sont alimentés par les analyses ThreatCloud de Check Point, le plus important réseau collaboratif dédié à la lutte contre la cyber-criminalité qui procure des données sur les menaces et les tendances de piratage à partir d’un réseau international de capteurs de menaces. La base de données ThreatCloud contient plus de 250 millions d’adresses analysées afin de détecter des bots, plus de 11 millions de signatures de maliciels et plus de 5,5 millions de sites Internet infectés. Elle identifie par ailleurs chaque jour des millions de types de maliciels.
[colored_box color=”blue”]La liste complète des 10 principales familles de maliciels pour le mois de décembre est disponible sur le blog de Check Point.
Les ressources Prévention des menaces de Check Point sont disponibles sur http://www.checkpoint.com/threat-prevention-resources/index.html[/colored_box]