En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêts. En savoir plus et gérer ces paramètres. OK X
 
 

 

 

Dossiers

Classement des menaces du mois de novembre 2021

Publication: Décembre 2021

Partagez sur
 
Emotet fait son retour dans le Top 3 des malwares...
 

Check Point Research révèle qu’Emotet se classe désormais, en Europe, au troisième rang des logiciels malveillants les plus répandus, et que son retour est jugé « extrêmement préoccupant ». Trickbot se retrouve à la première place. Le secteur de l’enseignement et de la recherche reste la première cible des pirates informatiques.

Check Point Research, le service de renseignement sur les menaces de Check Point® Software Technologies Ltd. l’un des principaux fournisseurs de solutions de cybersécurité dans le monde, publie son Classement des menaces du mois de novembre 2021. Les experts Check Point Research constatent que Trickbot reste en tête de la liste des logiciels malveillants les plus répandus, avec 5 % des organisations dans le monde touchées, et qu’Emotet, qui a récemment refait surface, revient dans le classement européen en troisième position. CPR révèle également que les secteurs de l’enseignement et de la recherche restent les premières cibles des pirates informatiques.

Malgré les efforts considérables déployés par Europol et de nombreux organismes chargés de faire respecter la loi au début de l’année pour faire tomber Emotet, il a été confirmé que le célèbre botnet avait repris du service en novembre et se classait déjà au septième rang des logiciels malveillants les plus utilisés. Ce mois-ci, Trickbot est en tête du classement pour la sixième fois. Il est même impliqué dans le nouveau variant d’Emotet, qui est installé sur des machines infectées grâce à l’infrastructure de Trickbot.

Emotet se propage par le biais d’e-mails de phishing contenant des fichiers Word, Excel et Zip infectés qui déploient le malware sur le système hôte de la victime. Les e-mails envoyés utilisent des objets percutants qui évoquent des sujets d’actualités, des appels à factures et de informations relatives à l’entreprise pour inciter les victimes à les ouvrir. Plus récemment, Emotet a également commencé à se propager via des paquets malveillants Windows App Installer se faisant passer pour des logiciels Adobe.

« Emotet est l’un des botnets les plus performants de l’histoire de la cybernétique et est responsable de l’explosion des attaques ciblées par ransomware à laquelle nous avons assisté ces dernières années », a déclaré Maya Horowitz, vice-présidente de la recherche chez Check Point Software. « Le retour du botnet est extrêmement préoccupant car il pourrait entraîner une recrudescence de ce type d’attaques par ransomware. En utilisant l’infrastructure de Trickbot, Emotet raccourcit le temps qu’il lui faudrait pour s’implanter de manière suffisamment significative dans les réseaux du monde entier. Dans la mesure où il se propage grâce à des e-mails de phishing accompagnés de pièces jointes malveillantes, il est essentiel que la sensibilisation et l’éducation des utilisateurs figurent en tête des priorités des organisations en matière de cybersécurité. Toute personne cherchant à télécharger un logiciel Adobe doit se rappeler, comme pour tout téléchargement d’application, qu’il faut suivre la voie officielle. »

CPR a également révélé ce mois-ci que le secteur d’activité le plus touché dans le monde, et en Europe, était celui de l’enseignement et de la recherche. En Europe, les autres secteurs les plus touchés sont ceux des utilities (traitement du gaz et de l’eau) et des telco / secteur de l’IoT. « Web Servers Malveillant URL Directory Traversal » reste la vulnérabilité la plus couramment exploitée : elle a impacté 44% des organisations dans le monde. Elle est suivie par « Web Server Exposed Git Repository Information Disclosure » qui affecte 43,7% des organisations dans le monde. « HTTP Remote Code Execution » reste à la troisième place dans la liste des vulnérabilités les plus exploitées, avec un impact global de 42%.

Top des familles de logiciels malveillants qui touchent les entreprises françaises

Ce mois-ci, Trickbot est le malware le plus populaire avec un impact global de 5% des entreprises dans le monde.

1. Trickbot : Trickbot est un botnet dominant et un cheval de Troie bancaire constamment mis à jour avec de nouvelles capacités, fonctionnalités et vecteurs de distribution. Trickbot peut ainsi être un malware flexible et personnalisable et être distribué dans le cadre de campagnes polyvalentes.

2. SmokeLoader : SmokeLoader est un trojan qui permet à un cyberattaquant de contrôler à distance un ordinateur infecté et d’effectuer toute une série d’activités malveillantes, notamment le téléchargement et l’installation d’autres logiciels malveillants en fonction de la géolocalisation de la victime, et le vol de mots de passe de clients FTP, de navigateurs, de clients de messagerie instantanée, de clients de poker et de clients de messagerie. SmokeLoader peut contourner l’UAC et plusieurs HIPS et peut désactiver les solutions antivirus. Il se propage par plusieurs méthodes, dont des kits d’exploitation et une campagne de spam spécifique offrant par exemple un petit-déjeuner gratuit chez McDonald’s.

3. Emotet : Emotet est un trojan avancé, auto-propagateur et modulaire qui était autrefois utilisé comme trojan bancaire, et qui distribue actuellement d’autres logiciels malveillants ou campagnes malveillantes. Emotet utilise de multiples méthodes pour maintenir sa force de frappe et des techniques d’évasion pour éviter la détection. Il peut se propager par le biais d’e-mails de spam de phishing contenant des pièces jointes ou des liens malveillants. Les industries les plus attaquées en Europe :

Ce mois-ci, l’éducation/recherche est le secteur le plus attaqué dans le monde, suivi du secteur de la communication et le gouvernement/militaire.

1. Enseignement/Recherche

2. Utilities

3. Teleommunications / IoT

Principales vulnérabilités exploitées

Ce mois-ci, « Web Server Exposed Git Repository Information Disclosure » est la vulnérabilité exploitée la plus courante, affectant 44% des organisations dans le monde, suivie de « HTTP Headers Remote Code Exécution » qui touche 43,7% des organisations dans le monde. « HTTP Remote Code Execution » reste à la troisième place dans la liste des vulnérabilités les plus exploitées, avec un impact global de 42%.

1. Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) - Il existe une vulnérabilité de traversée de répertoire sur différents serveurs web. La vulnérabilité est due à une erreur de validation d’entrée dans un serveur web qui ne nettoie pas correctement l’URL pour les motifs de traversée de répertoire. Une exploitation réussie permet à des attaquants distants non authentifiés de divulguer ou d’accéder à des fichiers arbitraires sur le serveur vulnérable.

2. Web Server Exposed Git Repository Information Disclosure - Une vulnérabilité de récupération d’informations a été signalée dans le référentiel Git. Une exploitation réussie de cette vulnérabilité permettrait la publication non intentionnelle d’informations de compte.

3. HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter un code arbitraire sur la machine de la victime. Top des malwares mobiles

Ce mois-ci, AlienBot occupe la 1ère place parmi les logiciels malveillants mobiles les plus répandus, suivi de xHelper et FluBot.

1. AlienBot : La famille de malwares AlienBot est un Malware-as-a-Service (MaaS) pour les appareils Android qui permet à un attaquant distant, dans un premier temps, d’injecter du code malveillant dans des applications financières légitimes. L’attaquant obtient l’accès aux comptes des victimes, et finit par contrôler complètement leur dispositif.

2. xHelper : Une application malveillante découverte en mars 2019, utilisée pour télécharger d’autres applications malveillantes et afficher des publicités. L’application est capable d’échapper à l’attention des utilisateurs et de se réinstaller en cas de désinstallation.

3. FluBot : FluBot est un botnet Android distribué via des SMS de phishing, le plus souvent en se faisant passer pour des marques de livraison logistique. Une fois que l’utilisateur clique sur le lien contenu dans le message, FluBot est alors installé et a accès à toutes les informations sensibles du téléphone.

Le classement mondial d’impact des menaces de Check Point et sa carte ThreatCloud sont alimentés par l’intelligence ThreatCloud de Check Point. ThreatCloud fournit des renseignements sur les menaces en temps réel provenant de centaines de millions de capteurs dans le monde entier, sur les réseaux, les terminaux et les mobiles. L’indice mondial d’impact des menaces de Check Point et sa carte ThreatCloud sont alimentés par l’intelligence ThreatCloud de Check Point.

Une fois que l’utilisateur clique sur le lien contenu dans le message, FluBot est installé et a accès à toutes les informations sensibles du téléphone.

https://research.checkpoint.com/

Suivez MtoM Mag sur le Web

 

Newsletter

Inscrivez-vous a la newsletter d'MtoM Mag pour recevoir, régulièrement, des nouvelles du site par courrier électronique.

Email: