Attention à la résurgence du botnet Emotet

Photo de Philipp Katzenberger sur Unsplash

Brief de l'éditeur: Juste au moment où nous pensions que le botnet Emotet était une époque révolue, il semble rebondir. C'est un avertissement juste aux praticiens de la cybersécurité que les méchants sont toujours prêts à essayer encore et encore, sans relâche, de ravager nos réseaux et nos systèmes. Le communiqué de presse du fournisseur est ci-dessous.

Malware le plus recherché de juillet 2020: Emotet frappe à nouveau après une absence de cinq mois

Check Point Research constate une forte augmentation du botnet Emotet diffusant des campagnes de spam après une période d'inactivité, visant à voler des informations d'identification bancaires et à se propager à l'intérieur de réseaux ciblés

SINGAPOUR, @mcgallen #microwireinfo, 11 août 2020 - Check Point Research, la branche Threat Intelligence de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), l'un des principaux fournisseurs de solutions de cybersécurité dans le monde, a publié son dernier indice mondial des menaces pour juillet 2020. Les chercheurs ont constaté qu'après une absence de cinq mois, Emotet est revenu à la première place de l'indice, avec un impact de 1%. des organisations dans le monde.

Depuis février 2020, les activités d'Emotet - principalement l'envoi de vagues de campagnes de malspam - ont commencé à ralentir et finalement se sont arrêtées, jusqu'à réapparaître en juillet. Ce schéma a été observé en 2019 lorsque le botnet Emotet a cessé ses activités pendant les mois d'été mais a repris en septembre.

En juillet, Emotet diffusait des campagnes de malspam, infectant ses victimes avec TrickBot et Qbot, qui sont utilisés pour voler des informations d'identification bancaires et se propager à l'intérieur des réseaux. Certaines des campagnes anti-spam contenaient des fichiers doc malveillants portant des noms tels que «form.doc» ou «facture.doc». Selon les chercheurs, le document malveillant lance un PowerShell pour extraire le binaire Emotet des sites Web distants et infecter les machines, en les ajoutant au botnet. La reprise des activités d'Emotet met en évidence l'ampleur et la puissance du botnet à l'échelle mondiale.

«Il est intéressant qu'Emotet soit resté inactif plusieurs mois plus tôt cette année, répétant un modèle que nous avons observé pour la première fois en 2019. Nous pouvons supposer que les développeurs derrière le botnet mettaient à jour ses fonctionnalités et capacités. Mais comme il est à nouveau actif, les organisations doivent éduquer les employés sur la façon d'identifier les types de malspam qui véhiculent ces menaces et avertir des risques liés à l'ouverture de pièces jointes aux e-mails ou à cliquer sur des liens provenant de sources externes. Les entreprises devraient également envisager de déployer des solutions anti-malware qui peuvent empêcher ce contenu d'atteindre les utilisateurs finaux », a déclaré Maya Horowitz, directrice, Threat Intelligence & Research, Products chez Check Point.

L'équipe de recherche prévient également que «MVPower DVR Remote Code Execution» est la vulnérabilité exploitée la plus courante, affectant 44% des organisations dans le monde, suivie de «OpenSSL TLS DTLS Heartbeat Information Disclosure» qui affecte 42% des organisations dans le monde. «Command Injection Over HTTP Payload» occupe la troisième place, avec un impact global de 38%.

Principales familles de logiciels malveillants

* Les flèches correspondent au changement de rang par rapport au mois précédent.

Ce mois-ci, Emotet est le malware le plus populaire avec un impact global de 5% des organisations, suivi de près par Dridex et l'agent Tesla affectant 4% des organisations chacun.

  1. ↑ Emote - Emotet est un cheval de Troie avancé, auto-propagatif et modulaire. Emotet était à l'origine un cheval de Troie bancaire, mais est récemment utilisé comme distributeur d'autres programmes malveillants ou campagnes malveillantes. Il utilise plusieurs méthodes pour maintenir la persistance et les techniques d'évasion pour éviter la détection. De plus, il peut se propager par le biais de spams de phishing contenant des pièces jointes ou des liens malveillants.
  2. ↑ Dridex - Dridex est un cheval de Troie qui cible la plate-forme Windows et qui serait téléchargé via une pièce jointe de spam. Dridex contacte un serveur distant et envoie des informations sur le système infecté. Il peut également télécharger et exécuter des modules arbitraires reçus du serveur distant.
  3. ↓ Agent Tesla - L'agent Tesla est un RAT avancé fonctionnant comme un enregistreur de frappe et un voleur d'informations capable de surveiller et de collecter l'entrée au clavier de la victime, le presse-papiers du système, de prendre des captures d'écran et d'exfiltrer les informations d'identification appartenant à une variété de logiciels installés sur la machine d'une victime (y compris Google Chrome, Mozilla Firefox et client de messagerie Microsoft Outlook).

Principales vulnérabilités exploitées

Ce mois-ci, «MVPower DVR Remote Code Execution» est la vulnérabilité exploitée la plus courante, affectant 44% des organisations dans le monde, suivie de «OpenSSL TLS DTLS Heartbeat Information Disclosure» qui affecte 42% des organisations dans le monde. «Command Injection Over HTTP Payload» occupe la troisième place, avec un impact global de 38%.

  1. ↑ Exécution de code à distance MVPower DVR - Une vulnérabilité d'exécution de code à distance qui existe dans les appareils MVPower DVR. Un attaquant distant peut exploiter cette faiblesse pour exécuter du code arbitraire dans le routeur affecté via une requête spécialement conçue.
  2. ↓ Divulgation d'informations OpenSSL TLS DTLS Heartbeat (CVE-2014-0160; CVE-2014-0346) - Une vulnérabilité de divulgation d'informations qui existe dans OpenSSL. La vulnérabilité est due à une erreur lors de la gestion des paquets de pulsation TLS / DTLS. Un attaquant peut exploiter cette vulnérabilité pour divulguer le contenu de la mémoire d'un client ou d'un serveur connecté.
  3. ↑ Injection de commandes sur la charge utile HTTP - Une vulnérabilité d'injection de commande sur la charge utile HTTP a été signalée. Un attaquant distant peut exploiter ce problème en envoyant une requête spécialement conçue à la victime. Une exploitation réussie permettrait à un attaquant d'exécuter du code arbitraire sur la machine cible.

Principales familles de malwares mobiles

Ce mois-ci, xHelper est le malware le plus populaire, suivi de Necro et PreAMo.

  1. xHelper - Une application malveillante vue dans la nature depuis mars 2019, utilisée pour télécharger d'autres applications malveillantes et afficher des publicités. L'application peut se cacher de l'utilisateur et se réinstaller au cas où elle aurait été désinstallée.
  2. Necro - Necro est un Trojan Dropper Android. Il peut télécharger d'autres logiciels malveillants, afficher des publicités intrusives et voler de l'argent en facturant des abonnements payants.
  3. PreAMo - PreAmo est un logiciel malveillant Android imite l'utilisateur en cliquant sur les bannières récupérées auprès de trois agences de publicité - Presage, Admob et Mopub.

L'indice mondial d'impact des menaces de Check Point et sa carte ThreatCloud sont alimentés par l'intelligence ThreatCloud de Check Point, le plus grand réseau collaboratif de lutte contre la cybercriminalité qui fournit des données sur les menaces et des tendances d'attaque à partir d'un réseau mondial de capteurs de menaces. La base de données ThreatCloud inspecte plus de 2.5 milliards de sites Web et 500 millions de fichiers par jour, et identifie plus de 250 millions d'activités malveillantes chaque jour.

La liste complète des 10 principales familles de logiciels malveillants en juillet est disponible sur le Blog de Check Point.

Les ressources de prévention des menaces de Check Point sont disponibles sur http://www.checkpoint.com/threat-prevention-resources/index.html

À propos de Check Point Research
Check Point Research fournit des renseignements de pointe sur les cybermenaces aux clients de Check Point Software et à l'ensemble de la communauté du renseignement. L'équipe de recherche recueille et analyse les données mondiales de cyber-attaque stockées sur ThreatCloud pour tenir les pirates à distance, tout en s'assurant que tous les produits Check Point sont mis à jour avec les dernières protections. L'équipe de recherche se compose de plus de 100 analystes et chercheurs qui coopèrent avec d'autres fournisseurs de sécurité, les forces de l'ordre et divers CERT.

Suivez Check Point Research via:

À propos de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) est l'un des principaux fournisseurs de solutions de cybersécurité aux gouvernements et aux entreprises du monde entier. Les solutions de Check Point protègent les clients contre les cyber-attaques de 5e génération avec un taux de capture de logiciels malveillants, de ransomwares et de menaces ciblées avancées. Check Point propose une architecture de sécurité à plusieurs niveaux, «Infinity Total Protection with Gen V Advanced Threat Prevention», cette architecture de produit combinée défend le cloud, le réseau et les appareils mobiles d'une entreprise. Check Point fournit le système de gestion de la sécurité à un point de contrôle le plus complet et le plus intuitif. Check Point protège plus de 100,000 XNUMX organisations de toutes tailles.

###