Publié le

Note de l'éditeur : l'un des chevaux de Troie les plus notoires, Dridex, a apparemment perdu de l'importance au cours de la dernière Check Point Softwarerapport mensuel sur les logiciels malveillants de , tandis que le botnet et le cheval de Troie bancaire Trickbot sont devenus la principale menace. La version du fournisseur est ci-dessous.

Check Point SoftwareLes logiciels malveillants les plus recherchés de mai 2021 : Dridex est retiré de la liste tandis que Trickbot atteint le sommet

Check Point Research rapporte que le cheval de Troie Dridex, qui est souvent utilisé dans les premières étapes des attaques de ransomware, a maintenant disparu de l'index après avoir été l'un des malwares les plus répandus ces derniers mois.

SINGAPOUR, @mcgallen #microwireinfo, 11 juin 2021 - Check Point Research (CPR), la branche Threat Intelligence de Check Point® Software Technologies Ltd. (NASDAQ : CHKP), l'un des principaux fournisseurs mondiaux de solutions de cybersécurité, a publié son dernier indice mondial des menaces pour mai 2021. Le CPR rapporte que Trickbot, qui est entré dans la liste pour la première fois en avril 2019, a désormais pris la première place, tandis que l'établi Le cheval de Troie Dridex a complètement disparu après avoir été l'un des logiciels malveillants les plus populaires ces derniers mois au milieu d'une augmentation mondiale des ransomwares. Bien qu'on ne sache pas encore pourquoi Dridex est tombé de la liste, rapports récents indiquent que le gang Evil Corp, bien connu pour la distribution de Dridex, a changé de nom et modifié son approche pour échapper aux sanctions du département du Trésor américain.

Trickbot occupe la première place de l'index, un botnet et cheval de Troie bancaire qui peut voler des détails financiers, des informations d'identification de compte et des informations personnellement identifiables, ainsi que se propager au sein d'un réseau et supprimer des ransomwares, en particulier Ryuk. Il est constamment mis à jour avec de nouvelles capacités, fonctionnalités et vecteurs de distribution, ce qui lui permet d'être un malware flexible et personnalisable qui peut être distribué dans le cadre de campagnes polyvalentes. Trickbot a gagné en popularité après le retrait du Le botnet Emotet en janvier, et a fait la une des journaux cette semaine alors que le Département américain de la justice a inculpé une femme lettone pour son rôle dans la création et le déploiement du malware Trickbot.

Depuis début 2021, le CPR a connu une augmentation significative du volume de cyberattaques contre les entreprises. En comparaison avec mai 2020, le CPR a connu une augmentation de 70 % du nombre de cyberattaques dans les Amériques, tandis que l'EMEA présente une augmentation de 97 % par rapport à mai 2020, et l'APAC connaît une augmentation stupéfiante de 168 % d'une année sur l'autre.

« Il y a eu beaucoup de discussions sur l'augmentation récente des attaques de ransomware, mais nous assistons en fait à une énorme augmentation du nombre de cyberattaques en général. C'est une tendance importante et troublante », a déclaré Maya Horowitz, directrice, Threat Intelligence & Research, Products chez Check Point. « Il est rassurant de voir que des accusations ont été déposées dans la lutte contre Trickbot, le malware le plus répandu ce mois-ci, mais il est clair qu'il reste encore un long chemin à parcourir. Les entreprises doivent être conscientes des risques et s'assurer que des solutions adéquates sont en place, mais aussi se rappeler que les attaques ne peuvent pas seulement être détectées, elles peuvent également être évitées, y compris les attaques zero-day et les logiciels malveillants inconnus. Avec les bonnes technologies en place, la majorité des attaques, même les plus avancées, peuvent être évitées sans perturber le flux commercial normal. »

Le CPR a également révélé que « Web Server Exposed Git Repository Information Disclosure » ​​est toujours la vulnérabilité exploitée la plus courante, affectant 48 % des organisations dans le monde, suivie de « HTTP Headers Remote Code Execution (CVE-2020-13756) » qui affecte 47.5 % des organisations. à l'échelle mondiale. « MVPowerDVR Remote Code Execution » se classe à la troisième place de la liste des vulnérabilités les plus exploitées, avec un impact global de 46%.

Principales familles de logiciels malveillants

* Les flèches correspondent au changement de rang par rapport au mois précédent

Ce mois-ci, Trickbot devient le malware le plus populaire avec un impact global de 8% des organisations, suivi par XMRig et Formbook impactant chacun 3% des organisations dans le monde.

  1. Trickbot - Trickbot est un botnet modulaire et un cheval de Troie bancaire constamment mis à jour avec de nouvelles capacités, fonctionnalités et vecteurs de distribution. Cela permet à Trickbot d'être un malware flexible et personnalisable qui peut être distribué dans le cadre de campagnes polyvalentes.
  2. XMRig – XMRig est un logiciel d'extraction de CPU open source utilisé pour le processus d'extraction de la Monerocryptocurrency, et vu pour la première fois dans la nature en mai 2017.
  3. ↑ Formbook - Formbook est un Infostealer qui collecte les informations d'identification de divers navigateurs Web, collecte des captures d'écran, surveille et enregistre les frappes au clavier, et peut télécharger et exécuter des fichiers en fonction de ses commandes C&C.

Principales vulnérabilités exploitées

Ce mois-ci, «Web Server Exposed Git Repository Information Disclosure» est la vulnérabilité exploitée la plus courante, affectant 48% des organisations dans le monde, suivie de «HTTP Headers Remote Code Execution (CVE-2020-13756)» qui affecte 47.5% des organisations dans le monde. «MVPower DVR Remote Code Execution» occupe la troisième place dans la liste des vulnérabilités les plus exploitées, avec un impact global de 46%.

  1. Divulgation des informations du référentiel Git sur le serveur Web - Une vulnérabilité de divulgation d'informations a été signalée dans le référentiel Git. Une exploitation réussie de cette vulnérabilité pourrait permettre une divulgation non intentionnelle des informations de compte.
  2. ↔ Exécution de code à distance des en-têtes HTTP (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter du code arbitraire sur la machine victime.
  3. ↔ MVPower DVR Remote Code Exécution - Une vulnérabilité d'exécution de code à distance existe dans les appareils MVPower DVR. Un attaquant distant peut exploiter cette faiblesse pour exécuter du code arbitraire dans le routeur affecté via une requête spécialement conçue.

Principaux malwares mobiles

Ce mois-ci, xHelper occupe la première place dans le malware mobile le plus répandu, suivi de Triada et Hiddad.

  1. xHelper - Une application malveillante vue dans la nature depuis mars 2019, utilisée pour télécharger d'autres applications malveillantes et afficher des publicités. L'application est capable de se cacher de l'utilisateur et peut se réinstaller au cas où elle aurait été désinstallée.
  2. Triada - Backdoor modulaire pour Android qui accorde des privilèges de superutilisateur aux logiciels malveillants téléchargés.
  3. Hiddad - Hiddad est un malware Android qui reconditionne les applications légitimes, puis les libère dans un magasin tiers. Sa fonction principale est d'afficher des publicités, mais il peut également accéder aux principaux détails de sécurité intégrés au système d'exploitation.

L'indice d'impact mondial des menaces de Check Point et sa carte ThreatCloud sont alimentés par ThreatCloud Intelligence de Check Point, le plus grand réseau collaboratif de lutte contre la cybercriminalité qui fournit des données sur les menaces et les tendances d'attaque à partir d'un réseau mondial de capteurs de menaces. La base de données ThreatCloud inspecte quotidiennement plus de 3 milliards de sites Web et 600 millions de fichiers, et identifie plus de 250 millions d'activités malveillantes chaque jour.

À propos de Check Point Research 

Check Point Research (CPR) fournit des renseignements de pointe sur les cybermenaces Check Point Software clients et la communauté du renseignement dans son ensemble. L'équipe de recherche recueille et analyse les données mondiales de cyber-attaque stockées sur ThreatCloud pour tenir les pirates à distance, tout en s'assurant que toutes les solutions Check Point sont mises à jour avec les dernières protections. L'équipe de recherche se compose de plus de 100 analystes et chercheurs qui coopèrent avec d'autres fournisseurs de sécurité, les forces de l'ordre et divers CERT.

Suivez Check Point Research via:

Notre Histoire Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. (www.checkpoint.com) est l'un des principaux fournisseurs de solutions de cybersécurité aux gouvernements et aux entreprises du monde entier. Le portefeuille de solutions de Check Point Infinity protège les entreprises et les organisations publiques contre les cyberattaques de 5e génération avec un taux de capture de malwares, ransomwares et autres menaces parmi les meilleurs du secteur. Infinity comprend trois piliers principaux offrant une sécurité sans compromis et une prévention des menaces de génération V dans les environnements d'entreprise : Check Point Harmony, pour les utilisateurs distants ; Check Point CloudGuard, pour sécuriser automatiquement les clouds ; et Check Point Quantum, pour protéger les périmètres de réseau et les centres de données, tous contrôlés par la gestion de sécurité unifiée la plus complète et la plus intuitive du secteur. Check Point protège plus de 100,000 XNUMX organisations de toutes tailles.

###