Les chercheurs ont identifié un important fournisseur de menaces en ligne appelé VexTrio, un intermédiaire clé pour les criminels du cyberespace. Parallèlement, LockBit3 est arrivé en tête du classement des groupes actifs de ransomware après une série d’attaques majeures en janvier. En France, Qbot est le malware le plus répandu.
Check Point® Software Technologies Ltd., l’un des principaux fournisseurs de solutions de cybersécurité dans le monde, a publié son Classement de menace globale pour le mois de janvier 2024. Le mois dernier, des chercheurs ont identifié un nouveau système invasif de répartition du trafic (TDS) connu sous le nom de VexTrio, qui a servi à plus de 60 sociétés affiliées par le biais d’un réseau de plus de 70 000 sites compromis. Quant à LockBit3, il s’est imposé comme le groupe de ransomware le plus répandu selon un tout nouveau classement, et l’éducation est restée le secteur le plus touché dans le monde.
Présent depuis au moins 2017, VexTrio s’allie à des dizaines d’affiliés pour diffuser des contenus malveillants via un TDS sophistiqué. Les opérations de VexTrio, qui emploient un modèle semblable à celui des réseaux d’affiliation du marketing légitime, se révèlent souvent complexes à repérer. Bien qu’il soit actif depuis plus de six ans, l’étendue de ses activités est largement passée inaperçue. En effet, peu d’éléments permettent de le lier à des acteurs de la menace ou à des chaînes d’attaque spécifiques. Cette situation représente un risque considérable en matière de cybersécurité, étant donné l’ampleur de son réseau et la sophistication de ses opérations.
« Les cybercriminels ont évolué, ils sont passés du statut de simples pirates à celui d’architectes de la tromperie. D’ailleurs VexTrio rappelle une fois de plus à quel point le secteur est devenu commercial », a déclaré Maya Horowitz, vice-présidente de la recherche chez Check Point Software. « Pour garantir une protection efficace contre les menaces en ligne, les personnes et les entreprises devraient accorder une attention particulière aux mises à jour fréquentes en matière de cybersécurité, employer des solutions de protection avancées pour les terminaux et encourager une culture de vigilance et de bonnes pratiques en ligne. C’est en restant informés et proactifs qu’ensemble, nous pourrons consolider nos défenses face à l’évolution des dangers que représentent les nouvelles cybermenaces. »
Pour la première fois, Check Point a inclus dans son classement une liste des groupes de ransomware les plus répandus, établie à partir de l’analyse de l’activité de plus de 200 « shame sites ». Le mois dernier, LockBit3 était le groupe de ransomware le plus répandu, avec 20% des attaques enregistrées. En janvier, ce groupe a été responsable de plusieurs incidents majeurs, dont une attaque contre la chaîne de sandwichs Subway et l’hôpital Saint Anthony de Chicago.
De plus, CPR a révélé que la vulnérabilité la plus exploitée au monde était « Command Injection Over http », avec un impact sur 44 % des entreprises, suivie de « Web Servers Malicious URL Directory Traversal », avec 41 %, et de « HTTP Headers Remote Code Exécution », avec un impact global de 40 %.
FakeUpdates était le malware le plus répandu le mois dernier avec un impact de 4% sur les entreprises du monde entier, suivi par Qbot avec un impact global de 3%, et Formbook avec un impact global de 2%.
1. Fakeupdates : Fakeupdates (AKA SocGholish) est un téléchargeur écrit en JavaScript. Il écrit les charges utiles sur le disque avant de les lancer. Fakeupdates a permis de compromettre de nombreux autres malwares, parmi lesquels GootLoader, Dridex, NetSupport, DoppelPaymer et AZORult.
2. Qbot : Qbot ou Qakbot est un cheval de Troie bancaire dont la première apparition remonte à 2008. Il a été conçu pour voler les identifiants des utilisateurs, enregistrer les frappes au clavier, voler les cookies des navigateurs, espionner les activités bancaires et déployer d’autres malwares. Souvent diffuse via des spams, Qbot utilise plusieurs techniques anti-VM, anti-débogage et anti-sandbox pour bloquer l’analyse et échapper à la détection. Apparu en 2022, il s’est imposé comme l’un des chevaux de Troie les plus répandus.
3. « Formbook : Formbook est un Infostealer ciblant le système d’exploitation Windows et a été détecté pour la première fois en 2016. Il est commercialisé en tant que Malware as a Service (MaaS) dans les forums de piratage clandestins pour ses excellentes techniques d’évasion et son prix relativement bas. FormBook récolte les informations d’identification de divers navigateurs Web, collecte les captures d’écran, surveille et enregistre les frappes au clavier, et peut télécharger et exécuter des fichiers selon les ordres de son C&C.
Le mois dernier, la vulnérabilité « Command Injection Over HTTP » a été la plus exploitée, avec un impact de 44 % des entreprises au niveau mondial, suivie par « Web Servers Malicious URL Directory Traversal » avec 41 % et « HTTP Headers Remote Code Execution » avec un impact mondial de 40 %.
1. Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) - Une vulnérabilité d’injection de commande sur HTTP a été identifiée. Un attaquant à distance peut exploiter ce problème en envoyant une requête spécifiquement conçue à la cible. En cas de réussite, cette exploitation pourrait autoriser l’exécution de code arbitraire sur la machine visée par l’attaque.
2. Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) - Une faille de traversée de répertoire a été repérée sur divers serveurs web.
Cette vulnérabilité découle d’une défaillance dans la validation des entrées d’un serveur web qui n’effectue pas correctement le nettoyage de l’URL pour prévenir les attaques de traversée de répertoire. En cas d’exploitation réussie, des attaquants distants non authentifiés peuvent divulguer ou accéder à des fichiers arbitraires sur le serveur vulnérable.
3. HTTP Headers Remote Code Execution : Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter un code arbitraire sur la machine cible.
Le mois dernier, Anubis est arrivé en tête du classement des malwares mobiles les plus répandus, suivi d’AhMyth et de Hiddad.
1. Anubis : Anubis est un cheval de Troie bancaire conçu pour les téléphones mobiles Android. Depuis sa découverte, il a acquis des fonctions supplémentaires, notamment celle de cheval de Troie d’accès à distance (RAT), d’enregistreur de frappe, de capacité d’enregistrement audio et diverses fonctions de ransomware. Il a été détecté sur des centaines d’applications différentes disponibles dans le Google Store.
2. AhMyth : AhMyth est un cheval de Troie d’accès à distance (RAT) découvert en 2017. Il est distribué via des applications Android que l’on peut trouver sur les magasins d’applications et sur divers sites internet. Quand un utilisateur installe l’une de ces applications compromises, le logiciel malveillant est capable de recueillir des données sensibles à partir de l’appareil et d’effectuer diverses actions telles que la capture de frappes, la collecte de captures d’écran, l’envoi de messages SMS et l’activation de la caméra. Ces actions sont habituellement entreprises dans le but de voler des informations sensibles.
3. Hiddad : Hiddad est un malware Android qui reconditionne les applications légitimes, puis les libère dans un magasin tiers. Sa fonction principale est d’afficher des publicités, mais il peut également accéder aux principaux détails de sécurité intégrés au système d’exploitation.
Les industries les plus attaqués dans le monde :
Le mois dernier, le secteur de la recherche et de l’éducation reste en tête des industries les plus attaquées au niveau mondial, suivi par le secteur du gouvernement/ militaire et celui des soins de santé.
1. Éducation/Recherche
2. Services publics/militaire
3. Santé
Les industries les plus attaquées en France :
1. Loisirs
2. Gouvernement / militaire
3. Transports
Cette section contient des informations de près de 200 « shame sites » gérés par des groupes de ransomware à double extorsion, dont 68 ont publié les noms et les informations de victimes cette année. Les cybercriminels ont recours à ces sites pour faire pression sur les victimes qui ne paient pas assez rapidement la rançon. Les données de ces « sites de la honte » véhiculent leurs propres préjugés, mais apportent tout de même des informations précieuses sur l’écosystème des ransomwares, qui représentent actuellement la principale menace pour les entreprises.
Le mois dernier, LockBit3 était le groupe de ransomware le plus répandu à l’origine de 20% des attaques enregistrées, suivi de 8Base avec 10%, et d’Akira avec 9%.
1. LockBit3 : LockBit3 est un ransomware qui fonctionne dans un modèle RaaS et a été signalé pour la première fois en septembre 2019. LockBit3 cible les grandes entreprises et les organismes gouvernementaux de divers pays mais ne vise ni les particuliers en Russie ni la Communauté des États Indépendants.
2. 8base : Le groupe de menace 8Base est un gang de ransomware actif dont les activités remontent au moins à mars 2022. Sa notoriété a progressé mi-2023 car ses activités se sont intensifiées de façon notable. On a constaté que ce groupe utilisait diverses variantes de ransomware, avec pour élément commun Phobos. 8Base fonctionne avec un certain niveau de sophistication, comme en témoigne l’utilisation de techniques avancées dans ses ransomwares. Les méthodes du groupe comprennent des tactiques de double extorsion.
3. Akira : Le ransomware Akira, dont le premier signalement remonte à début 2023, cible les systèmes Windows et Linux. Il utilise le chiffrement symétrique avec CryptGenRandom et Chacha 2008 pour chiffrer des fichiers et présente des similitudes avec le ransomware Conti v2 qui a fait l’objet d’une fuite. Akira se propage via divers moyens, et notamment par le biais de pièces jointes d’e-mails infectés et des exploits dans les points de terminaison VPN. Lors de l’infection, il chiffre les données et ajoute une extension « . akira » aux noms de fichiers, avant de présenter une demande de rançon exigeant le versement d’une somme d’argent en échange du déchiffrement.
La liste complète des 10 principales familles de malwares en janvier est accessible sur le blog de Checkpoint.