Publié le

Note de l'éditeur: selon le bras de recherche du fournisseur de cybersécurité Check Point Software, la suppression du botnet Emotet par les équipes de police internationales en janvier 2021, les acteurs de la menace ont recommencé à utiliser le trojan Trickbot comme un outil pour tenter d'infiltrer et d'exploiter les réseaux et les appareils. La version du fournisseur est ci-dessous.

Malware le plus recherché de février 2021: Trickbot prend le relais après l'arrêt d'Emotet

Check Point Research rapporte qu'à la suite de l'opération policière internationale qui a pris le contrôle d'Emotet en janvier, les cybercriminels se sont tournés vers Trickbot pour maintenir leurs activités malveillantes.

SINGAPOUR, @mcgallen #microwireinfo, 12 mars 2021 - Check Point Research, la branche Threat Intelligence de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), l'un des principaux fournisseurs de solutions de cybersécurité au niveau mondial, a publié son dernier indice mondial des menaces pour février 2021. Les chercheurs ont rapporté que le cheval de Troie Trickbot était en tête de l'indice pour la première fois, passant de la troisième position en janvier.

Suite au suppression du botnet Emotet en janvier, les chercheurs de Check Point rapportent que les groupes cybercriminels utilisent désormais de nouvelles techniques avec des malwares tels que Trickbot pour poursuivre leurs activités malveillantes. En février, Trickbot a été distribué via une campagne de spam malveillant conçue pour inciter les utilisateurs du secteur juridique et des assurances à télécharger une archive .zip contenant un fichier JavaScript malveillant sur leur PC. Une fois ce fichier ouvert, il tente de télécharger une autre charge utile malveillante à partir d'un serveur distant.

Trickbot était le 4e malware le plus répandu dans le monde en 2020, affectant 8% des entreprises. Il a joué un rôle clé dans l'une des cyberattaques les plus médiatisées et coûteuses de 2020, qui a frappé Universal Health Services (UHS), l'un des principaux prestataires de soins de santé aux États-Unis. a été frappé par Ryuk ransomware, et A déclaré l'attaque lui a coûté 67 millions de dollars américains en revenus et en coûts perdus. Trickbot a été utilisé par les attaquants pour détecter et récolter les données des systèmes UHS, puis pour fournir la charge utile du ransomware.

«Les criminels continueront à utiliser les menaces et les outils existants dont ils disposent, et Trickbot est populaire en raison de sa polyvalence et de ses antécédents de succès lors d'attaques précédentes», a déclaré Maya Horowitz, directrice, Threat Intelligence & Research, Products chez Check Point. «Comme nous le soupçonnions, même lorsqu'une menace majeure est supprimée, il y en a beaucoup d'autres qui continuent de poser un risque élevé sur les réseaux du monde entier, les entreprises doivent donc s'assurer de disposer de systèmes de sécurité robustes pour éviter que leurs réseaux ne soient compromis et minimiser les risques. Une formation complète pour tous les employés est cruciale, afin qu'ils soient dotés des compétences nécessaires pour identifier les types d'e-mails malveillants qui propagent Trickbot et d'autres logiciels malveillants. »

Check Point Research avertit également que «la divulgation d'informations sur le référentiel Git par serveur Web» est la vulnérabilité exploitée la plus courante, affectant 48% des organisations dans le monde, suivie par «l'exécution de code à distance des en-têtes HTTP (CVE-2020-13756)» qui affecte 46% des organisations du monde entier. «MVPower DVR Remote Code Execution» occupe la troisième place dans la liste des vulnérabilités les plus exploitées, avec un impact global de 45%.

Principales familles de logiciels malveillants

* Les flèches correspondent au changement de rang par rapport au mois précédent

Ce mois-ci, Trickbot se classe parmi les logiciels malveillants les plus populaires impactant 3% des organisations dans le monde, suivi de près par XMRig et Qbot qui ont également impacté 3% des organisations dans le monde respectivement.

  1. ↑ Trickbot - Trickbot est un botnet dominant et un cheval de Troie bancaire constamment mis à jour avec de nouvelles capacités, fonctionnalités et vecteurs de distribution. Cela permet à Trickbot d'être un malware flexible et personnalisable qui peut être distribué dans le cadre de campagnes polyvalentes.
  2. XMRig - XMRig est un logiciel d'exploitation de CPU open source utilisé pour le processus d'extraction de la crypto-monnaie Monero, et vu pour la première fois dans la nature en mai 2017.
  3. ↑ Qbot - Qbot est un cheval de Troie bancaire apparu pour la première fois en 2008, conçu pour voler les informations d'identification bancaires et les frappes au clavier des utilisateurs. Souvent distribué par e-mail de spam, Qbot utilise plusieurs techniques anti-VM, anti-débogage et anti-sandbox, pour entraver l'analyse et échapper à la détection.

Principales vulnérabilités exploitées

Ce mois-ci, «Web Server Exposed Git Repository Information Disclosure» est la vulnérabilité exploitée la plus courante, affectant 48% des organisations dans le monde, suivie par «HTTP Headers Remote Code Execution (CVE-2020-13756)» qui affecte 46% des organisations dans le monde. «MVPower DVR Remote Code Execution» occupe la troisième place dans la liste des vulnérabilités les plus exploitées, avec un impact global de 45%.

  1. Divulgation des informations du référentiel Git sur le serveur Web - Vulnérabilité de divulgation d'informations qui a été signalée dans le référentiel Git. Une exploitation réussie de cette vulnérabilité pourrait permettre une divulgation non intentionnelle des informations de compte.
  2. ↔ Exécution de code à distance des en-têtes HTTP (CVE-2020-13756) - Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter du code arbitraire sur la machine victime.
  3. Exécution de code à distance MVPower DVR - une vulnérabilité d'exécution de code à distance qui existe dans les appareils MVPower DVR. Un attaquant distant peut exploiter cette faiblesse pour exécuter du code arbitraire dans le routeur affecté via une requête spécialement conçue.

Principaux malwares mobiles

Ce mois-ci, Hiddad occupe la 1ère place parmi les logiciels malveillants mobiles les plus répandus, suivi de xHelper et FurBall.

  1. Hiddad - Hiddad est un malware Android qui reconditionne les applications légitimes, puis les libère dans un magasin tiers. Sa fonction principale est d'afficher des publicités, mais il peut également accéder aux principaux détails de sécurité intégrés au système d'exploitation.
  2. xHelper - Une application malveillante vue dans la nature depuis mars 2019, utilisée pour télécharger d'autres applications malveillantes et afficher des publicités. L'application est capable de se cacher de l'utilisateur et de se réinstaller au cas où elle aurait été désinstallée.
  3. FurBall - FurBall est un Android MRAT (Mobile Remote Access Trojan) qui est déployé par APT-C-50, un groupe APT iranien connecté au gouvernement iranien. Ce malware a été utilisé dans plusieurs campagnes datant de 2017 et est toujours actif aujourd'hui. Les capacités de FurBall incluent le vol de messages SMS, les journaux d'appels, l'enregistrement surround, l'enregistrement d'appels, la collecte de fichiers multimédias, le suivi de l'emplacement, etc.

L'indice mondial d'impact des menaces de Check Point et sa carte ThreatCloud sont alimentés par l'intelligence ThreatCloud de Check Point, le plus grand réseau collaboratif de lutte contre la cybercriminalité qui fournit des données sur les menaces et des tendances d'attaque à partir d'un réseau mondial de capteurs de menaces. La base de données ThreatCloud inspecte plus de 3 milliards de sites Web et 600 millions de fichiers par jour, et identifie plus de 250 millions d'activités malveillantes chaque jour.

La liste complète des 10 principales familles de logiciels malveillants en février est disponible sur le Blog de Check Point.

À propos de Check Point Research 

Check Point Research fournit des informations de pointe sur les cybermenaces Check Point Software clients et la communauté du renseignement dans son ensemble. L'équipe de recherche collecte et analyse les données mondiales de cyber-attaque stockées sur ThreatCloud pour tenir les pirates à distance, tout en s'assurant que tous les produits Check Point sont mis à jour avec les dernières protections. L'équipe de recherche se compose de plus de 100 analystes et chercheurs qui coopèrent avec d'autres fournisseurs de sécurité, les forces de l'ordre et divers CERT.

Suivez Check Point Research via:

À propos Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. (www.checkpoint.com) est l'un des principaux fournisseurs de solutions de cybersécurité aux gouvernements et aux entreprises du monde entier. Les solutions de Check Point protègent les clients des cyberattaques de 5e génération avec un taux de capture de logiciels malveillants, de ransomwares et de menaces ciblées avancées. Check Point propose une architecture de sécurité à plusieurs niveaux, «Infinity Total Protection with Gen V Advanced Threat Prevention», cette architecture de produit combinée défend le cloud, le réseau et les appareils mobiles d'une entreprise. Check Point fournit le système de gestion de la sécurité à un point de contrôle le plus complet et le plus intuitif. Check Point protège plus de 100,000 XNUMX organisations de toutes tailles.

###