Check Point Research (CPR), la branche de renseignement sur les menaces de Check Point® Software Technologies Ltd. (code NASDAQ: CHKP), l’un des principaux fournisseurs de solutions de cybersécurité dans le monde, a publié son Rapport de sécurité 2021. Les chercheurs ont découvert que le cheval de Troie Trickbot se classait en première position pour la première fois, après avoir occupé la troisième place en janvier.

Après le démantèlement du botnet Emotet en janvier, les chercheurs de Check Point informent que les groupes cybercriminels utilisent désormais de nouvelles techniques avec des malwares tels que Trickbot pour poursuivre leurs activités malveillantes. En février, Trickbot a été diffusé par le biais d'une campagne malveillante de spams visant à inciter les utilisateurs des secteurs juridiques et de l'assurance à télécharger un fichier .zip sur leur PC, contenant un fichier JavaScript malveillant. Une fois ce fichier ouvert, il tente de télécharger une autre charge utile malveillante depuis un serveur distant.

Trickbot était le quatrième logiciel malveillant le plus répandu dans le monde en 2020, impactant 8 % des organisations.  Il a joué un rôle clé dans l'une des cyberattaques les plus médiatisées et les plus coûteuses de 2020 et qui a touché Universal Health Services (UHS), l'un des principaux fournisseurs de soins de santé aux États-Unis. UHS a été touché par le logiciel rançonneur Ryuk, et a déclaré que l'attaque lui avait coûté 67 millions de dollars en pertes de revenus et en frais. Les attaquants se sont servis de Trickbot pour détecter et récolter les données des systèmes d'UHS, pour ensuite transmettre la charge utile du logiciel rançonneur. 

« Les criminels utiliseront toujours les menaces et les outils à leur disposition. Trickbot est populaire car il est polyvalent et qu’il a permis des attaques réussies dans le passé », a déclaré Maya Horowitz, directrice, Threat Intelligence & Research, Products chez Check Point. « Comme on peut s'y attendre, même si on élimine une menace majeure, de nombreuses autres présenteront toujours un risque élevé sur les réseaux du monde entier. Les organisations doivent donc s'assurer qu'elles disposent de systèmes de sécurité puissants pour empêcher que leurs réseaux ne soient compromis et minimiser les risques. Une formation complète des employés est indispensable, comme toujours, pour pouvoir identifier les types d’e-mails malveillants qui répandent Trickbot et d'autres logiciels malveillants. » 

Check Point Research avertit également que l’« exécution de code à distance MVPower DVR » est la vulnérabilité exploitée la plus courante, touchant 48% des organisations mondiales, suivie par l’ « exécution de code à distance des en-têtes HTTP (CVE-2020-13756)» qui touche 46% des organisations dans le monde. L’« exécution de code à distance MVPower DVR» occupe la troisième place dans la liste des vulnérabilités les plus exploitées, avec un impact global de 45 %.

Principales familles de logiciels malveillants

* Les flèches indiquent le changement de position par rapport au mois précédent.

Ce mois-ci, Trickbot est le logiciel malveillant le plus populaire, touchant 3 % des entreprises au niveau mondial, suivi de près par XMRig et Qbot, qui touchent chacun 3 % des entreprises.

1. ↑ Trickbot - Trickbot est un botnet dominant et un cheval de Troie bancaire constamment mis à jour avec de nouvelles capacités, fonctionnalités et vecteurs de distribution. Trickbot peut ainsi être un malware flexible et personnalisable et être distribué dans le cadre de campagnes polyvalentes.
2. ↑ XMRig - XMRig est un logiciel de minage de CPU open-source utilisé sur la crypto-monnaie Monero et apparu la première fois en mai 2017.
3. ↑ Qbot - Qbot est un cheval de Troie bancaire apparu en 2008, conçu pour voler les informations d'identification bancaires et les frappes des utilisateurs. Souvent diffusé via spams, Qbot utilise plusieurs techniques anti-VM, anti-débogage et anti-sandbox pour bloquer l'analyse et échapper à la détection.

Principales vulnérabilités exploitées

Ce mois-ci, la « Récupération d’informations sur le référentiel Git d’un serveur web exposé » est la plus couramment exploitée, touchant 48% des organisations dans le monde, suivie de près par l’ « exécution de code à distance des en-têtes HTTP (CVE-2020-13756) » qui touche 46% des entreprises dans le monde. L’ « exécution de code à distance MVPower DVR » occupe la troisième place dans la liste des vulnérabilités les plus exploitées, avec un impact global de 45 %.

1. ↑ Récupération d’informations sur le référentiel Git d’un serveur web exposé - Une vulnérabilité de récupération d’informations a été signalée dans le référentiel Git. Une exploitation réussie de cette vulnérabilité permettrait la publication non intentionnelle d’informations de compte.
2. ↔ Exécution de code à distance des en-têtes HTTP (CVE-2020-13756) - Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter un code arbitraire sur la machine de la victime.
3. ↓ Exécution de code à distance MVPower DVR - Une vulnérabilité d'exécution de code à distance existe dans les appareils MVPower DVR. Un pirate peut exploiter cette faiblesse pour exécuter du code arbitraire dans le routeur concerné via une requête spécialement conçue.

Principales familles de logiciels malveillants mobiles

Ce mois-ci, Hiddad occupe la 1ère place parmi les logiciels malveillants mobiles les plus répandus, suivi de xHelper et FurBall.

1. Hiddad - Un logiciel malveillant Android reconditionnant des applications légitimes, puis les publiant dans une boutique d’applications tierce. Il a pour principale fonction d’afficher des publicités, mais peut également accéder aux informations de sécurité clés intégrés dans le système d’exploitation.
2. xHelper - Une application malveillante découverte en mars 2019, utilisée pour télécharger d’autres applications malveillantes et afficher des publicités. L’application est capable d’échapper à l’attention des utilisateurs, et de se réinstaller en cas de désinstallation.
3. FurBall - FurBall est un MRAT (cheval de Troie d'accès à distance mobile) Android déployé par APT-C-50, un groupe APT iranien lié au gouvernement iranien. Ce malware a été utilisé dans de multiples campagnes remontant à 2017, et est toujours actif aujourd'hui. Les capacités de FurBall incluent le vol de SMS, l’historique des appels, l'enregistrement surround, l'enregistrement d'appels, la collecte de fichiers multimédias, le suivi de localisation, etc.

L’indice Check Point des menaces et la carte ThreatCloud sont alimentés par des renseignements issus de Check Point ThreatCloud, le plus grand réseau collaboratif de lutte contre la cybercriminalité, qui fournit des données et des tendances sur les menaces et les attaques grâce à un réseau mondial de capteurs. La base de données ThreatCloud inspecte plus de 3 milliards de sites web et 600 millions de fichiers par jour, et identifie plus de 250 millions d’activités de logiciels malveillants chaque jour.

La liste complète des 10 principales familles de logiciels malveillants en février est disponible sur le blog de Checkpoint.

A propos de Check Point Research :

Check Point Research (CPR) fournit des renseignements de pointe sur les menaces cybernétiques aux clients de Check Point Software et à la communauté élargie du renseignement. L'équipe de recherche recueille et analyse les données de cyber-attaques mondiales stockées sur ThreatCloud pour tenir les pirates informatiques à distance, tout en s'assurant que tous les produits Check Point sont mis à jour avec les dernières protections. L'équipe de recherche est composée de plus de cent analystes et chercheurs qui coopèrent avec d'autres fournisseurs de sécurité, les autorités répressives et plusieurs CERT.

A propos de Check Point Software Technologies Ltd. :

Check Point Software Technologies Ltd. est l’un des principaux fournisseurs de solutions de cybersécurité pour les gouvernements et les entreprises dans le monde.  Ses solutions protègent les clients contre les cyberattaques de 5e génération grâce à un taux de blocage inégalé des logiciels malveillants, des logiciels rançonneurs et autres types d’attaques. Check Point propose « Infinity Total Protection avec prévention avancée des menaces de 5e génération », une architecture de sécurité à plusieurs niveaux, qui défend les données des entreprises dans le Cloud, les réseaux et les appareils mobiles. Check Point fournit le système d’administration unifiée de la sécurité le plus complet et le plus intuitif. Check Point protège plus de 100 000 entreprises de toute taille.

Source : Check Point Software Technologies Ltd.