Le ransomware a doublé au deuxième semestre 2016, selon Check Point

20160817_chkp_graphic

Le rapport Global Threat Intelligence Trends Report de Check Point pour le deuxième semestre 2 met en évidence les principales tendances des malwares sur les réseaux et les mobiles

Singapour, @mcgallen #microwireinfo, 23 février 2017 - Check Point® Software Technologies Ltd. (Nasdaq: CHKP), a publié aujourd'hui ses tendances mondiales en matière de renseignement sur les menaces au deuxième semestre 2, révélant que les attaques de ransomwares ont doublé au cours de la période. Sur tous les incidents de malwares reconnus dans le monde, le pourcentage d'attaques de ransomwares est passé de 2016% à 5.5% entre juillet et décembre 10.5.

Le rapport sur les tendances mondiales du renseignement sur les menaces au deuxième semestre 2 met en évidence les tactiques clés utilisées par les cybercriminels pour attaquer les entreprises et donne un aperçu détaillé du paysage des cyber-menaces dans les principales catégories de logiciels malveillants - ransomwares, services bancaires et mobiles. Il est basé sur des données de renseignement sur les menaces tirées de ThreatCloud World Cyber ​​de Check Point Carte des menaces entre juillet et décembre 2016.

Tendances clés

Les chercheurs de Check Point ont détecté un certain nombre de tendances clés au cours de la période:

* Le monopole sur le marché des ransomwares - des milliers de nouvelles variantes de ransomwares ont été observées en 2016, et ces derniers mois, nous avons assisté à un changement dans le paysage des ransomwares à mesure qu'il devenait de plus en plus centralisé, avec quelques familles de logiciels malveillants importantes dominant le marché et frappant des organisations de toutes tailles.

* Attaques DDoS via des appareils IoT - en août 2016, le tristement célèbre Mirai Botnet a été découvert - une première en son genre - le botnet de l'Internet des objets (IoT), qui attaque le numérique vulnérable compatible Internet, comme les enregistreurs vidéo (DVR) et les caméras de surveillance (CCTV). Il les transforme en bots, utilisant les appareils compromis pour lancer plusieurs attaques de déni de service distribué (DDoS) à haut volume. Il est maintenant clair que des appareils IoT vulnérables sont utilisés dans presque tous les foyers, et les attaques DDoS massives qui en sont basées persisteront.

* Nouvelles extensions de fichier utilisées dans les campagnes de spam - le vecteur d'infection le plus utilisé dans les campagnes de spam malveillant au cours du second semestre 2016 était les téléchargeurs basés sur le moteur Windows Script (WScript). Les téléchargeurs écrits en Javascript (JS) et VBScript (VBS) ont dominé le domaine de la distribution mal-spam, ainsi que des formats similaires mais moins familiers tels que JSE, WSF et VBE.

Principaux logiciels malveillants au cours du second semestre 2:

1. Conficker (14.5%) - Ver qui permet des opérations à distance et le téléchargement de logiciels malveillants. La machine infectée est contrôlée par un botnet, qui contacte son serveur Command & Control pour recevoir des instructions.

2. Salité (6.1%) - Virus qui permet des opérations à distance et des téléchargements de logiciels malveillants supplémentaires sur des systèmes infectés par son opérateur. Son objectif principal est de persister dans un système et de fournir des moyens de contrôle à distance et d'installer d'autres logiciels malveillants.

3. Foulard (4.6%) - Botnet principalement impliqué dans l'envoi d'e-mails de spam, ainsi que dans certaines attaques DDOS. Une fois installés, les bots se connectent directement au serveur de commande et de contrôle, et reçoivent des instructions sur les e-mails qu'ils doivent envoyer. Une fois leur tâche terminée, les bots rapportent au spammeur les statistiques exactes de leur fonctionnement.

4. JBossjmx (4.5%) - Ver qui cible les systèmes sur lesquels une version vulnérable de JBoss Application Server est installée. Le malware crée une page JSP malveillante sur les systèmes vulnérables qui exécute des commandes arbitraires. De plus, une autre porte dérobée est créée qui accepte les commandes d'un serveur IRC distant.

5. Locky (4.3%) - Ransomware, qui a commencé sa distribution en février 2016, et se propage principalement via des e-mails de spam contenant un téléchargeur déguisé en pièce jointe Word ou Zip, qui télécharge et installe ensuite le malware qui crypte les fichiers de l'utilisateur.

Top ransomware pendant le second semestre 2:

Le pourcentage d'attaques de ransomwares sur toutes les attaques reconnues dans le monde a presque doublé au second semestre 2016, passant de 5.5% à 10.5%. Les variantes les plus couramment détectées étaient:

1. Locky 41% - Le troisième ransomware le plus répandu au premier semestre, qui a considérablement augmenté au cours du second semestre.

2. Cryptowall 27% - Ransomware qui a commencé comme un doppelgänger Cryptolocker, mais l'a finalement dépassé. Après le retrait de Cryptolocker, Cryptowall est devenu l'un des ransomwares les plus importants à ce jour. Cryptowall est connu pour son utilisation du cryptage AES et pour la conduite de ses communications C&C sur le réseau anonyme Tor. Il est largement diffusé via des kits d'exploitation, des campagnes de malvertising et de phishing.

3. Cerber 23% - le plus grand programme de ransomware-as-a-service au monde. Cerber est un programme de franchise, son développeur recrutant des affiliés qui diffusent le malware pour une réduction des bénéfices.

Principaux logiciels malveillants mobiles pendant le second semestre 2:

1. Hummingbad 60% - Un malware Android révélé pour la première fois par l'équipe de recherche de Check Point qui établit un rootkit persistant sur l'appareil, installe des applications frauduleuses et, avec de légères modifications, pourrait permettre une activité malveillante supplémentaire telle que l'installation d'un enregistreur de frappe, le vol d'informations d'identification et le contournement des conteneurs de messagerie cryptés utilisés par les entreprises.

2. Triada 9% - Porte dérobée modulaire pour Android qui accorde des privilèges de super-utilisateur aux logiciels malveillants téléchargés et l'aide à s'intégrer dans les processus système. Triada a également été vu usurper des URL chargées dans le navigateur.

3. Ztorg 7% - Cheval de Troie qui utilise les privilèges root pour télécharger et installer des applications sur le téléphone mobile à l'insu de l'utilisateur.

Principaux logiciels malveillants bancaires:

1. Zeus 33% - Cheval de Troie qui cible les plates-formes Windows et souvent utilisé pour voler des informations bancaires par la journalisation des frappes de l'homme dans le navigateur et la saisie de formulaires.

2. Tinba 21% - Trojan bancaire qui vole les informations d'identification de la victime à l'aide d'injections Web, activé lorsque les utilisateurs tentent de se connecter au site Web de leur banque.

3. Ramnit 16% - Cheval de Troie bancaire qui vole les informations d'identification bancaires, les mots de passe FTP, les cookies de session et les données personnelles.

Maya Horowitz, responsable du groupe Threat Intelligence chez Check Point, a déclaré: «Le rapport démontre la nature du cyberenvironnement actuel, avec des attaques de ransomwares en croissance rapide. C'est simplement parce qu'ils fonctionnent et génèrent des revenus importants pour les attaquants. Les organisations ont du mal à contrer efficacement la menace: beaucoup n'ont pas les bonnes défenses en place et n'ont peut-être pas sensibilisé leur personnel à la manière de reconnaître les signes d'une attaque potentielle par ransomware dans les e-mails entrants. »

«De plus, nos données démontrent qu'un petit nombre de familles sont responsables de la majorité des attaques, alors que des milliers d'autres familles de malwares sont rarement vues», a poursuivi Horowitz. «La plupart des cybermenaces sont mondiales et interrégionales, mais la région APAC se distingue par le fait que son tableau des principales familles de logiciels malveillants comprend 5 familles qui n'apparaissent pas dans les autres graphiques régionaux.»

Les statistiques de ce rapport sont basées sur des données tirées de la carte ThreatCloud World Cyber ​​Threat. ThreatCloud de Check Point est le plus grand réseau collaboratif de lutte contre la cybercriminalité, fournissant les données les plus à jour sur les menaces et les tendances en matière de cyberattaques à partir d'un réseau mondial de capteurs de menaces. La base de données ThreatCloud identifie quotidiennement des millions de types de logiciels malveillants et contient plus de 250 millions d'adresses analysées pour la découverte de bots, ainsi que plus de 11 millions de signatures de logiciels malveillants et 5.5 millions de sites Web infectés.

Une copie complète du rapport peut être trouvée ici.

Suivez Check Point via:

Blog de Check Point: http://blog.checkpoint.com/
Twitter http://www.twitter.com/checkpointsw

Facebook: http://www.facebook.com/checkpointsoftware
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

À propos de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) est le plus grand fournisseur de cybersécurité de réseau au monde, fournissant des solutions de pointe et protégeant les clients contre les cyberattaques avec un taux de capture inégalé de logiciels malveillants et d'autres types de menaces. Check Point propose une architecture de sécurité complète qui défend les entreprises - des réseaux aux appareils mobiles - en plus de la gestion de la sécurité la plus complète et la plus intuitive. Check Point protège plus de 100,000 XNUMX organisations de toutes tailles.

###