Le rapport de février 2020 des chercheurs de Check Point met en garde contre Mirai et Emotet

20160817_chkp_graphic

Note de l'éditeur: La branche de recherche du fournisseur de cybersécurité Check Point Software publie un mensuel «malware le plus recherché», et en février 2020, met en garde contre le botnet Mirai, qui cible les appareils IoT et lance des attaques DDoS. L'équipe de recherche met également en garde contre Emotet, un autre botnet, qui utilise le phishing par SMS comme technique. Le communiqué de presse du fournisseur se trouve ci-dessous.

Malware le plus recherché de février 2020: augmentation des exploits propageant le botnet Mirai aux appareils IoT

SINGAPOUR, @mcgallen #microwireinfo, 12 mars 2020 - Check Point Research, la branche Threat Intelligence de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), l'un des principaux fournisseurs de solutions de cybersécurité au niveau mondial, a publié son dernier indice mondial des menaces pour février 2020.

Le mois de février a vu une forte augmentation des exploits ciblant une vulnérabilité pour propager le botnet Mirai, qui est connu pour infecter les appareils IoT et mener des attaques DDoS massives. La vulnérabilité, connue sous le nom d'exploit «PHP php-cgi Query String Parameter Code Execution», s'est classée 6e parmi les principales vulnérabilités exploitées et a touché 20% des organisations dans le monde, contre seulement 2% en janvier 2020.

L'équipe de recherche avertit également les organisations qu'Emotet, le deuxième malware le plus populaire ce mois-ci et le botnet le plus répandu actuellement, s'est répandu en utilisant deux nouveaux vecteurs en février. Le premier vecteur était une campagne de phishing par SMS (smishing) ciblant les utilisateurs aux États-Unis: le SMS usurpe l'identité des messages des banques populaires, incitant les victimes à cliquer sur un lien malveillant qui télécharge Emotet sur leur appareil. Le deuxième vecteur est Emotet détectant et exploitant les réseaux Wi-Fi à proximité pour se propager via des attaques par force brute en utilisant une gamme de mots de passe Wi-Fi couramment utilisés. Emotet est principalement utilisé comme distributeur de ransomware ou d'autres campagnes malveillantes.

Emotet a touché 7% des organisations dans le monde en février, contre 13% en janvier, lorsqu'il était diffusé via des campagnes de spam, y compris des campagnes sur le thème du coronavirus. Cela met en évidence la rapidité avec laquelle les cybercriminels modifient les thèmes de leurs attaques pour essayer de maximiser les taux d'infection.

«Comme nous l'avons vu en janvier, les menaces et les exploits les plus importants en février étaient des logiciels malveillants polyvalents tels que XMRig et Emotet. Les criminels semblent vouloir créer les plus grands réseaux possibles d'appareils infectés, qu'ils peuvent ensuite exploiter et monétiser de différentes manières, de la livraison de ransomwares au lancement d'attaques DDoS », a déclaré Maya Horowitz, directrice, Threat Intelligence & Research, Products à Check Point. «Les principaux vecteurs d’infection étant les e-mails et les SMS, les entreprises doivent s’assurer que leurs employés savent comment identifier les différents types de spam malveillant et déployer une sécurité qui empêche activement ces menaces d’infecter leurs réseaux.»

Principales familles de logiciels malveillants

* Les flèches correspondent au changement de rang par rapport au mois précédent.

Ce mois-ci, XMRig est passé à la première place, touchant 7% des organisations dans le monde, suivi par Emotet & Jsecoin touchant respectivement 6% et 5% des organisations dans le monde.

  1. ↑ XMRig - XMRig est un logiciel d'exploitation de CPU open source utilisé pour l'extraction de la crypto-monnaie Monero, et a été vu pour la première fois dans la nature en mai 2017.
  2. ↓ Emotet - Emotet est un cheval de Troie avancé, auto-propagatif et modulaire. Emotet était avant tout un cheval de Troie bancaire, mais a récemment été utilisé comme distributeur d'autres logiciels malveillants ou campagnes malveillantes. Il utilise plusieurs méthodes pour maintenir la persistance et des techniques d'évasion pour éviter la détection. De plus, il peut se propager par le biais de spams de phishing contenant des pièces jointes ou des liens malveillants.
  3. ↑ Jsecoin - Jsecoin est un crypto-mineur basé sur le Web conçu pour effectuer une extraction en ligne de la crypto-monnaie Monero lorsqu'un utilisateur visite une page Web particulière. Le JavaScript implanté utilise une grande partie des ressources de calcul des machines de l'utilisateur final pour extraire des pièces, ce qui a un impact sur les performances du système.

Principales vulnérabilités exploitées

Ce mois-ci, «MVPower DVR Remote Code Execution» est resté la vulnérabilité exploitée la plus courante, affectant 31% des organisations dans le monde, suivi de près par «OpenSSL TLS DTLS Heartbeat Information Disclosure» avec un impact global de 28%. A la 3ème place Vulnérabilité «divulgation d'informations PHP DIESCAN» touchant 27% des organisations dans le monde.

  1. ↔ MVPower DVR Remote Code Exécution - Une vulnérabilité d'exécution de code à distance existe dans les appareils MVPower DVR. Un attaquant distant peut exploiter cette faiblesse pour exécuter du code arbitraire dans le routeur affecté via une requête spécialement conçue.
  2. ↑ Divulgation d'informations sur les battements de cœur OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346) - Une vulnérabilité de divulgation d'informations existe dans OpenSSL. La vulnérabilité est due à une erreur lors de la gestion des paquets de pulsation TLS / DTLS. Un attaquant peut exploiter cette vulnérabilité pour divulguer le contenu de la mémoire d'un client ou d'un serveur connecté.
  3. Divulgation des informations PHP DIESCAN - Une vulnérabilité de divulgation d'informations a été signalée dans les pages PHP. Une exploitation réussie pourrait conduire à la divulgation d'informations sensibles du serveur.

Principales familles de logiciels malveillants - Mobile

Ce mois-ci xHelper a conservé la 1ère place parmi les malwares mobiles les plus répandus, suivi par Hiddad & guérilla.

  1. xHelper- Une application malveillante vue dans la nature depuis mars 2019, utilisée pour télécharger d'autres applications malveillantes et afficher des publicités. L'application est capable de se cacher de l'utilisateur et de se réinstaller au cas où elle aurait été désinstallée.
  2. Hiddad - Hiddad est un malware Android qui reconditionne les applications légitimes, puis les libère dans un magasin tiers. Sa fonction principale est d'afficher des publicités, mais il peut également accéder aux principaux détails de sécurité intégrés au système d'exploitation.
  3. guérilla- Guerrilla est un cheval de Troie Android intégré dans plusieurs applications légitimes et capable de télécharger des charges utiles malveillantes supplémentaires. Guerrilla génère des revenus publicitaires frauduleux pour les développeurs d'applications.

L'indice mondial d'impact des menaces de Check Point et sa carte ThreatCloud sont alimentés par l'intelligence ThreatCloud de Check Point, le plus grand réseau collaboratif de lutte contre la cybercriminalité qui fournit des données sur les menaces et des tendances d'attaque à partir d'un réseau mondial de capteurs de menaces. La base de données ThreatCloud inspecte plus de 2.5 milliards de sites Web et 500 millions de fichiers par jour, et identifie plus de 250 millions d'activités malveillantes chaque jour.

La liste complète des 10 principales familles de logiciels malveillants en février est disponible sur le Blog de Check Point.

À propos de Check Point Research

Check Point Research fournit des renseignements de pointe sur les cybermenaces aux clients de Check Point Software et à l'ensemble de la communauté du renseignement. L'équipe de recherche recueille et analyse les données mondiales de cyber-attaque stockées sur ThreatCloud pour tenir les pirates à distance, tout en s'assurant que tous les produits Check Point sont mis à jour avec les dernières protections. L'équipe de recherche se compose de plus de 100 analystes et chercheurs qui coopèrent avec d'autres fournisseurs de sécurité, les forces de l'ordre et divers CERT.

Suivez Check Point Research via:

À propos de Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. (www.checkpoint.com) est l'un des principaux fournisseurs de solutions de cybersécurité aux gouvernements et aux entreprises du monde entier. Les solutions de Check Point protègent les clients des cyberattaques de 5e génération avec un taux de capture de logiciels malveillants, de ransomwares et de menaces ciblées avancées. Check Point propose une architecture de sécurité à plusieurs niveaux, «Infinity Total Protection with Gen V Advanced Threat Prevention», cette architecture de produit combinée défend le cloud, le réseau et les appareils mobiles d'une entreprise. Check Point fournit le système de gestion de la sécurité à un point de contrôle le plus complet et intuitif. Check Point protège plus de 100,000 XNUMX organisations de toutes tailles.

###