Publié le

Note de l'éditeur: L'assaut des logiciels malveillants reste élevé alors même que certaines parties du monde s'effondrent sous la pandémie en cours. Dans le dernier rapport sur l'indice mondial des menaces d'avril 2021 du principal fournisseur de cybersécurité Check Point Software, le cheval de Troie Dridex utilisé dans certaines attaques de ransomwares, est quelque chose à ignorer pour tout RSSI ou praticien et leader de la cybersécurité. La version du fournisseur est ci-dessous.

Malwares les plus recherchés d'avril 2021: Dridex reste en première position face à la flambée mondiale d'attaques de ransomwares

Check Point Research rapporte que le cheval de Troie Dridex, qui est souvent utilisé dans les étapes initiales des attaques de ransomware, est le malware le plus répandu pour le deuxième mois consécutif.

SINGAPOUR, @mcgallen #microwireinfo, 14 mai 2021- Check Point Research (CPR), la branche Threat Intelligence deCheck Point® Software Technologies Ltd. (NASDAQ: CHKP), l'un des principaux fournisseurs de solutions de cybersécurité à l'échelle mondiale, a publié son dernier indice mondial des menaces pour avril 2021. Les chercheurs rapportent que pour la première fois, AgentTesla s'est classé deuxième dans l'indice, tandis que le cheval de Troie Dridex établi est toujours le malware le plus répandu, ayant atteint la première place en mars après avoir été septième en février.

Ce mois-ci, Dridex, un cheval de Troie qui cible la plate-forme Windows, s'est propagé via QuickBooks Malspam Campaign. Les e-mails de phishing utilisaient la marque de QuickBooks et tentaient d'attirer l'utilisateur avec de fausses notifications de paiement et de fausses factures. Le contenu de l'e-mail demandait de télécharger une pièce jointe Microsoft Excel malveillante qui pourrait entraîner l'infection du système par Dridex.

Ce malware est souvent utilisé comme stade initial d'infection dans les opérations de ransomware où les pirates informatiques crypteront les données d'une organisation et exigeront une rançon afin de les décrypter. De plus en plus, ces pirates utilisent des méthodes de double extorsion, où ils volent des données sensibles à une organisation et menacent de les divulguer publiquement à moins qu'un paiement ne soit effectué. RCR rapporté en mars que les attaques de ransomware avaient connu une augmentation de 57% au début de 2021, mais cette tendance a continué de grimper et a terminé une augmentation de 107% par rapport à la période équivalente de l'année dernière. Plus récemment, Pipeline Colonial, une grande compagnie pétrolière américaine, a été victime d'une telle attaque et en 2020, elle est a estimé que les ransomwares coûtent aux entreprises du monde entier environ 20 milliards de dollars américains - un chiffre qui est près de 75% plus élevé qu'en 2019.

Pour la première fois, AgentTesla s'est classé à la deuxième place dans la liste des meilleurs logiciels malveillants. AgentTesla est un RAT avancé (cheval de Troie d'accès à distance) actif depuis 2 et fonctionne comme un keylogger et un voleur de mots de passe. Ce RAT peut surveiller et collecter l'entrée au clavier et le presse-papiers système de la victime, et peut enregistrer des captures d'écran et exfiltrer les informations d'identification entrées pour une variété de logiciels installés sur la machine de la victime (y compris Google Chrome, Mozilla Firefox et le client de messagerie Microsoft Outlook). Ce mois-ci, il y a une augmentation des campagnes AgentTesla, qui se propagent via malspam. Le contenu de l'e-mail demande de télécharger un fichier (il peut s'agir de n'importe quel type de fichier) qui pourrait provoquer l'infection du système par l'agent Tesla.

«Alors que nous assistons à une augmentation considérable des attaques de ransomwares dans le monde, il n'est pas surprenant que les principaux logiciels malveillants de ce mois soient liés à la tendance. En moyenne toutes les 10 secondes dans le monde, une organisation est victime d'un ransomware », a déclaré Maya Horowitz, directrice, Threat Intelligence & Research, Products chez Check Point. «Récemment, des appels ont été lancés aux gouvernements pour qu'ils fassent davantage face à cette menace croissante, mais cela ne montre aucun signe de ralentissement. Toutes les organisations doivent être conscientes des risques et s'assurer que des solutions anti-ransomware adéquates sont en place. Une formation complète pour tous les employés est également cruciale, afin qu'ils soient dotés des compétences nécessaires pour identifier les types d'e-mails malveillants qui propagent Dridex et d'autres malwares, car c'est ainsi que commencent de nombreux ransomwares. »

Le CPR a également révélé que «la divulgation d'informations sur le référentiel Git par serveur Web» est la vulnérabilité exploitée la plus courante, affectant 46% des organisations dans le monde, suivie par «l'exécution de code à distance des en-têtes HTTP (CVE-2020-13756)» qui a un impact sur 45.5% des organisations dans le monde. . «MVPower DVR Remote Code Execution» occupe la troisième place dans la liste des vulnérabilités les plus exploitées, avec un impact global de 44%.

Principales familles de logiciels malveillants

* Les flèches correspondent au changement de rang par rapport au mois précédent.

Ce mois-ci, Dridex est toujours le malware le plus populaire avec un impact global de 15% des organisations, suivi par Agent Tesla et Trickbot impactant respectivement 12% et 8% des organisations dans le monde.

  1. Dridex - Dridex est un cheval de Troie qui cible la plate-forme Windows, distribué principalement via des pièces jointes de spam malveillantes. Dridex contacte un serveur distant, envoie des informations sur le système infecté et peut également télécharger et exécuter des modules arbitraires sur commande. Les infections Dridex servent souvent de point d'ancrage initial dans les attaques de ransomwares à l'échelle de l'entreprise.
  2. ↑ Agent Tesla - L'agent Tesla est un RAT avancé fonctionnant comme un enregistreur de frappe et un voleur d'informations, capable de surveiller et de collecter l'entrée au clavier de la victime, le clavier système, de prendre des captures d'écran et d'exfiltrer les informations d'identification vers une variété de logiciels installés sur la machine d'une victime, y compris Google Chrome, Mozilla Firefox et le client de messagerie Microsoft Outlook.
  3. Trickbot - Trickbot est un botnet modulaire et un cheval de Troie bancaire constamment mis à jour avec de nouvelles capacités, fonctionnalités et vecteurs de distribution. Cela permet à Trickbot d'être un malware flexible et personnalisable qui peut être distribué dans le cadre de campagnes polyvalentes.

Principales vulnérabilités exploitées

Ce mois-ci, «Web Server Exposed Git Repository Information Disclosure» est la vulnérabilité exploitée la plus courante, affectant 46% des organisations dans le monde, suivie de «HTTP Headers Remote Code Execution (CVE-2020-13756)» qui affecte 45.5% des organisations dans le monde. «MVPower DVR Remote Code Execution» occupe la troisième place dans la liste des vulnérabilités les plus exploitées, avec un impact global de 44%.

  1. Divulgation des informations du référentiel Git sur le serveur Web - Une vulnérabilité de divulgation d'informations a été signalée dans le référentiel Git. Une exploitation réussie de cette vulnérabilité pourrait permettre une divulgation non intentionnelle des informations de compte.
  2. Exécution de code à distance des en-têtes HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) - Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter du code arbitraire sur la machine victime.
  3. Exécution de code à distance MVPower DVR - Une vulnérabilité d'exécution de code à distance existe dans les appareils MVPower DVR. Un attaquant distant peut exploiter cette faiblesse pour exécuter du code arbitraire dans le routeur affecté via une requête spécialement conçue.

Top malwares mobiles

Ce mois-ci, xHelper occupe la première place dans le malware mobile le plus répandu, suivi de Triada et Hiddad.

  1. xHelper - Une application malveillante vue dans la nature depuis mars 2019, utilisée pour télécharger d'autres applications malveillantes et afficher des publicités. L'application est capable de se cacher de l'utilisateur et peut se réinstaller au cas où elle aurait été désinstallée.
  2. Triada - Backdoor modulaire pour Android qui accorde des privilèges de super utilisateur aux logiciels malveillants téléchargés.
  3. Hiddad - Hiddad est un malware Android qui reconditionne les applications légitimes, puis les libère dans un magasin tiers. Sa fonction principale est d'afficher des publicités, mais il peut également accéder aux principaux détails de sécurité intégrés au système d'exploitation.

L'indice mondial d'impact des menaces de Check Point et sa carte ThreatCloud sont alimentés par l'intelligence ThreatCloud de Check Point, le plus grand réseau collaboratif de lutte contre la cybercriminalité qui fournit des données sur les menaces et des tendances d'attaque à partir d'un réseau mondial de capteurs de menaces. La base de données ThreatCloud inspecte plus de 3 milliards de sites Web et 600 millions de fichiers par jour, et identifie plus de 250 millions d'activités malveillantes chaque jour.

La liste complète des 10 principales familles de logiciels malveillants en avril se trouve sur le Blog de Check Point.

À propos de Check Point Research 

Check Point Research (CPR) fournit des renseignements de pointe sur les cybermenaces Check Point Software clients et la communauté du renseignement dans son ensemble. L'équipe de recherche recueille et analyse les données mondiales de cyber-attaque stockées sur ThreatCloud pour tenir les pirates à distance, tout en s'assurant que toutes les solutions Check Point sont mises à jour avec les dernières protections. L'équipe de recherche se compose de plus de 100 analystes et chercheurs qui coopèrent avec d'autres fournisseurs de sécurité, les forces de l'ordre et divers CERT.

Suivez Check Point Research via:

À Propos Check Point Software Technologies Ltd.  

Check Point Software Technologies Ltd. (www.checkpoint.com) est l'un des principaux fournisseurs de solutions de cybersécurité aux gouvernements et aux entreprises du monde entier. Le portefeuille de solutions de Check Point Infinity protège les entreprises et les organisations publiques contre les cyberattaques de 5e génération avec un taux de capture de logiciels malveillants, ransomwares et autres menaces de pointe. Infinity comprend trois piliers fondamentaux offrant une sécurité sans compromis et une prévention des menaces de génération V dans les environnements d'entreprise: Check Point Harmony, pour les utilisateurs distants; Vérifiez Point CloudGuard, pour sécuriser automatiquement les clouds; et Check Point Quantum, pour protéger les périmètres du réseau et les centres de données, tous contrôlés par la gestion de la sécurité unifiée la plus complète et la plus intuitive du secteur. Check Point protège plus de 100,000 XNUMX organisations de toutes tailles.

###