Check Point Research (CPR), la division de renseignement sur les menaces de Check Point® Software Technologies Ltd., l’un des principaux fournisseurs de solutions de cybersécurité dans le monde, a publié son Classement de menace globale pour le mois de mai 2021. CPR indique que Trickbot, qui a fait son entrée dans la liste en avril 2019, a désormais pris la première place, tandis que le trojan Dridex, bien établi, a complètement disparu après avoir été l’un des malwares les plus populaires ces derniers mois, dans un contexte de recrudescence mondiale des ransomwares. Bien que l’on ne sache pas encore pourquoi Dridex est sorti du classement, des rapports récents indiquent que le gang Evil Corp, bien connu pour avoir distribué Dridex, a changé de marque et d’approche pour échapper aux sanctions du département du Trésor public américain.
La première place du classement est occupée par Trickbot, un botnet et un cheval de Troie bancaire capable de voler des informations financières, des références de compte et des informations d’identification personnelle, ainsi que de se propager au sein d’un réseau et de répandre des ransomwares, dont Ryuk. Il est constamment mis à jour avec de nouvelles capacités, fonctionnalités et vecteurs de distribution, ce qui en fait un logiciel malveillant flexible et personnalisable, susceptible d’être distribué dans le cadre de campagnes polyvalentes. Trickbot a gagné en popularité après le démantèlement du botnet Emotet en janvier, et a fait de nouveau les gros titres cette semaine lorsque le Département de la Justice des États-Unis a mis en examen une femme lettone pour avoir participé à la création et au déploiement du malware Trickbot.
Depuis le début de l’année 2021, CPR a constaté une augmentation significative du volume de cyberattaques visant les entreprises. Par rapport à mai 2020, CPR a remarqué une augmentation de 70 % du nombre de cyberattaques sur le continent américain, tandis que la région EMEA présente une augmentation de 97 % par rapport à mai 2020 et que la région APAC enregistre une augmentation stupéfiante de 168 % d’une année a l’autre.
« On a beaucoup parlé de la récente augmentation des attaques par ransomware, mais nous assistons en fait à un flambée des cyberattaques en général. Il s’agit d’une tendance majeure et troublante », déclare Xavier Duros, CTO de Check Point Software France. « Il est rassurant de constater que des accusations ont été portées dans le cadre de la lutte contre Trickbot, le logiciel malveillant le plus répandu ce mois-ci, mais il est clair que le chemin à parcourir est encore long. Les entreprises doivent être conscientes des risques et s’assurer que des solutions adaptées sont en place, mais elles ne doivent pas non plus oublier que les attaques peuvent être non seulement détectées mais évitées, même dans le cas d’attaques de type « zero-day » et de logiciels malveillants inconnus. Avec les bonnes technologies en place, la majorité des attaques, même les plus avancées, peuvent être évitées sans perturber le flux normal des activités. »
Check Point Research avertit également que « Web Server Exposed Git Repository Information Disclosure » est encore la vulnérabilité exploitée la plus courante, touchant 48% des organisations mondiales, suivie par le « Headers HTTP Exécution de code à distance (CVE-2020-13756) » qui touche 47,5% des organisations dans le monde. « MVPower DVR Remote Code Execution » occupe la troisième place dans la liste des vulnérabilités les plus exploitées, avec un impact global de 46%.
Les flèches indiquent le changement de position par rapport au mois précédent.
Ce mois-ci, Trickbot est le malware le plus populaire avec un impact global de 8% des entreprises, suivi par XMRig et Formbook qui touchent tous les deux 3% des entreprises dans le monde.
1. Trickbot : Trickbot est un botnet dominant et un cheval de Troie bancaire constamment mis à jour avec de nouvelles capacités, fonctionnalités et vecteurs de distribution. Trickbot peut ainsi être un malware flexible et personnalisable et être distribué dans le cadre de campagnes polyvalentes.
2. XMRig : XMRig est un logiciel de minage de CPU open-source utilisé sur la crypto-monnaie Monero et apparu la première fois en mai 2017.
3. Formbook : Formbook est un Infostealer qui récolte les informations d’identification de divers navigateurs Web, collecte des captures d’écran, surveille et enregistre les frappes au clavier, et peut télécharger et exécuter des fichiers en fonction de ses ordres C&C.
Ce mois-ci, « Web Server Exposed Git Repository Information Disclosure » est la vulnérabilité exploitée la plus courante, affectant 48% des organisations dans le monde, suivie de de « HTTP Headers Remote Code Execution (CVE-2020-13756) » qui touche 47,5% des organisations dans le monde. « MVPower DVR Remote Code Execution » occupe la troisième place dans la liste des vulnérabilités les plus exploitées, avec un impact global de 46%.
1. Web Server Exposed Git Repository Information Disclosure : Une vulnérabilité de récupération d’informations a été signalée dans le référentiel Git. Une exploitation réussie de cette vulnérabilité permettrait la publication non intentionnelle d’informations de compte.
2. HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) : Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter un code arbitraire sur la machine de la victime.
3. MVPower DVR Remote Code Execution : une vulnérabilité d’exécution de code à distance qui existe dans les appareils MVPower DVR. Un pirate peut exploiter cette vulnérabilité à distance pour exécuter du code arbitraire dans le routeur affecté via une requête spécialement conçue.
Ce mois-ci, xHelper occupe la 1ère place parmi les logiciels malveillants mobiles les plus répandus, suivi de Triada et Hiddad.
1. xHelper : Une application malveillante découverte en mars 2019, utilisée pour télécharger d’autres applications malveillantes et afficher des publicités. L’application est capable d’échapper à l’attention des utilisateurs, et de se réinstaller en cas de désinstallation.
2. Triada : Backdoor modulaire pour Android qui accorde des privilèges de super-utilisateur aux logiciels malveillants téléchargés.
3. Hiddad : Hiddad est un malware Android qui reconditionne les applications légitimes, puis les libère dans un magasin tiers. Sa fonction principale est d’afficher des publicités, mais il peut également accéder aux principaux détails de sécurité intégrés au système d’exploitation.
Le classement mondial d’impact des menaces de Check Point et sa carte ThreatCloud sont alimentés par l’intelligence ThreatCloud de Check Point, le plus grand réseau collaboratif de lutte contre la cybercriminalité qui fournit des données sur les menaces et les tendances des attaques à partir d’un réseau mondial de capteurs de menaces. La base de données ThreatCloud inspecte plus de 3 milliards de sites web et 600 millions de fichiers par jour, et identifie plus de 250 millions d’activités malveillantes chaque jour.