QBot, malware le plus actif en France en avril 2021, selon le classement des malwares de Check Point Research. Pour le 2ème mois consécutif Dridex est le malware le plus actif au monde (le 3ème en France), suivi par AgentTesla (également 2ème malware le plus répandu en France).
Tribune – Check Point Research (CPR), la division de Check Point® Software Technologies Ltd., dédiée au renseignement sur les menaces, publie son classement des cybermenaces pour le mois d’avril 2021. AgentTesla s’est hissé à la deuxième place du classement, tandis que le cheval de Troie (trojan) Dridex reste le logiciel malveillant le plus répandu au monde pour le deuxième mois consécutif. Dridex s’impose encore un peu plus en haut de la hiérarchie des principaux malwares du monde, alors qu’il occupait la 7ème place du classement en février 2021.
En France, le trojan bancaire Qbot bouleverse la hiérarchie, et a été largement le malware le plus présent sur le mois d’avril puisque le malware a été identifié dans 41% des attaques détectées par Check Point en France.
Dridex, cheval de Troie qui cible la plate-forme Windows, s’est propagé en avril, via la campagne de spams malicieux (phishing) QuickBooks. Les mails utilisaient l’image de marque de QuickBooks et tentaient d’attirer l’utilisateur avec de fausses notifications de paiement et de fausses factures. Le contenu de l’email demandait de télécharger une pièce jointe Microsoft Excel malveillante qui permettait à Dridex d’infecter le système.
Dridex, étape initiale d’infection dans les opérations de ransomware
Le fonctionnement des ransomwares est désormais bien connu : Les pirates chiffrent les données d’une organisation et lui demandent une rançon pour les déchiffrer. Et de plus en plus, ces hackers utilisent des méthodes de double extorsion : ils volent des données sensibles et menacent de les rendre publiques à moins qu’un paiement ne soit effectué. CPR a signalé en mars que les attaques de ransomware avaient connu une augmentation de 57 % sur le début de l’année 2021, mais cette tendance s’est poursuivie et a enregistré une hausse de 107 % par rapport à la période équivalente de l’année dernière.
En 2020, nous estimons que les ransomwares ont coûté aux entreprises du monde entier près de 20 milliards de dollars – un chiffre en hausse d’environ 75 % par rapport à 2019.
AgentTesla, pour la première fois en 2ème position dans la liste des principaux malwares (monde)
AgentTesla est un RAT (cheval de Troie d’accès à distance/ Remote Access Trojan) avancé, actif depuis 2014, qui fonctionne comme un keylogger (enregistreur de frappes) et un voleur de mots de passe. Ce RAT peut surveiller et collecter les saisies sur le clavier et le presse-papiers du système de la victime. Il peut aussi enregistrer des captures d’écran et exfiltrer les informations d’identification saisies de plusieurs logiciels installés sur la machine de la victime (notamment Google Chrome, Mozilla Firefox et Microsoft Outlook). En avril, nous avons constaté une augmentation des campagnes AgentTesla, qui se propagent via des spams malveillants. Le contenu de l’email demande à l’utilisateur de télécharger un fichier (il peut s’agir de n’importe quel type de fichier) qui permettrait à Agent Tesla d’infecter le système.
Le malware QBot, particulièrement actif en France
Qbot, alias Qakbot, est un cheval de Troie bancaire apparu en 2008, conçu pour dérober les informations d’identification bancaires et enregistrer les frappes au clavier des utilisateurs (fonction de keylogger). Souvent distribué par le biais de spams, Qbot utilise plusieurs techniques anti-VM, anti-débogage et anti-sandbox, pour entraver l’analyse et échapper à la détection.
Sur le mois d’avril, Check Point Research a identifié QBot dans 41% du total des cyberattaques contre les entreprises françaises. Qbot est suivi par AgentTesla (présent dans 16% des attaques détectées en France), Dridex (environ 8%) et Trickbot (5,5%).
Maya Horowitz, directrice de la division Threat Intelligence & Research, Products, chez Check Point explique : « En moyenne, toutes les 10 secondes dans le monde, une organisation est victime d’un ransomware. Récemment, des appels ont été lancés aux gouvernements pour qu’ils fassent davantage face à cette menace croissante, mais celle-ci ne montre aucun signe de ralentissement. Toutes les organisations doivent être conscientes des risques et s’assurer que des solutions anti-ransomware adéquates sont en place. Une formation complète de tous les employés est également cruciale, afin qu’ils aient les compétences nécessaires pour identifier les types d’emails malveillants qui propagent Dridex et autres malwares, car c’est ainsi que commencent de nombreux exploits de ransomware ».
Check Point Research souligne également les vulnérabilités les plus exploitées :
- « Web Server Exposed Git Repository Information Disclosure » est la vulnérabilité exploitée la plus courante, touchant 46% des organisations mondiales,
- suivie par « Headers HTTP Exécution de code à distance (CVE-2020-13756) » qui concerne 45,5% des organisations dans le monde.
- « MVPower DVR Remote Code Execution » occupe la troisième place dans la liste des vulnérabilités les plus exploitées, avec un impact global de 44%.
Le top des familles de logiciels malveillants
* Les flèches indiquent le changement de position par rapport au mois précédent.
Au mois d’avril, Dridex a été le malware le plus populaire au niveau mondial (identifié dans 15% des attaques détectées au niveau mondial) suivi par Agent Tesla et Trickbot (identifiés respectivement dans 12% et 8% du total des attaques).
- ↔ Dridex – Dridex est un cheval de Troie qui cible la plate-forme Windows, distribué principalement via des pièces jointes de spam. Dridex contacte un serveur distant, envoie des informations sur le système infecté et peut également télécharger et exécuter des modules arbitraires sur commande. Les infections par Dridex servent souvent de point de départ à des attaques de ransomware à l’échelle de l’entreprise.
- ↑ Agent Tesla – Agent Tesla est un RAT avancé fonctionnant comme un enregistreur de frappe et un voleur d’informations, capable de surveiller et de collecter les saisies du clavier de la victime, le clavier du système, de faire des captures d’écran et d’exfiltrer les informations d’identification de divers logiciels installés sur la machine de la victime, comme Google Chrome, Mozilla Firefox et Microsoft Outlook.
- ↑ Trickbot – Trickbot est un botnet dominant et un cheval de Troie bancaire constamment mis à jour avec de nouvelles capacités, fonctionnalités et vecteurs de distribution. Trickbot peut ainsi être un malware flexible et personnalisable et être distribué dans le cadre de campagnes polyvalentes.
Principales vulnérabilités exploitées
Ce mois-ci, « Web Server Exposed Git Repository Information Disclosure » est la vulnérabilité exploitée la plus courante, affectant 46% des organisations dans le monde, suivie de « HTTP Headers Remote Code Execution (CVE-2020-13756) » qui touche 45,5% des organisations dans le monde. « MVPower DVR Remote Code Execution » occupe la troisième place dans la liste des vulnérabilités les plus exploitées, avec un impact global de 44%.
- ↑ Web Server Exposed Git Repository Information Disclosure – Une vulnérabilité de récupération d’informations a été signalée dans le référentiel Git. Une exploitation réussie de cette vulnérabilité permettrait la publication non intentionnelle d’informations de compte.
- ↑ HTTP Headers Remote Code Execution (CVE-2020-13756) – Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter un code arbitraire sur la machine de la victime.
- ↑ MVPower DVR Remote Code Execution – une vulnérabilité d’exécution de code à distance qui existe dans les appareils MVPower DVR. Un hacker peut exploiter cette vulnérabilité à distance pour exécuter du code arbitraire dans le routeur affecté via une requête spécialement conçue.
Le top des malwares mobiles
Au mois d’avril, xHelper occupait la 1ère place parmi les logiciels malveillants mobiles les plus répandus, suivi de Triada et Hiddad.
- xHelper – Une application malveillante découverte en mars 2019, utilisée pour télécharger d’autres applications malveillantes et afficher des publicités. L’application est capable d’échapper à l’attention des utilisateurs, et de se réinstaller en cas de désinstallation.
- Triada – Backdoor modulaire pour Android qui accorde des privilèges de super-utilisateur aux logiciels malveillants téléchargés.
- Hiddad – Hiddad est un malware Android qui reconditionne les applications légitimes, puis les libère dans un magasin tiers. Sa fonction principale est d’afficher des publicités, mais il peut également accéder aux principaux détails de sécurité intégrés au système d’exploitation.
Le classement mondial d’impact des menaces de Check Point et sa carte ThreatCloud sont alimentés par l’intelligence ThreatCloud de Check Point, le plus grand réseau collaboratif de lutte contre la cybercriminalité qui fournit des données sur les menaces et les tendances des attaques à partir d’un réseau mondial de capteurs de menaces. La base de données ThreatCloud inspecte plus de 3 milliards de sites web et 600 millions de fichiers par jour, et identifie plus de 250 millions d’activités malveillantes chaque jour.
La liste complète des 10 principales familles de logiciels malveillants en avril est disponible sur le blog de Checkpoint : https://research.checkpoint.com/
Retrouvez également Check Point Research sur Twitter : https://twitter.com/_cpresearch_