Les logiciels malveillants « les plus recherchés » en mai 2019

0
100

Les chercheurs de Check Point ont constaté de multiple tentatives pour localiser des systèmes vulnérables à la faille RDP BlueKeep à l’échelle mondiale, susceptibles d’être les prémices d’une attaque majeure.

Tribune Check Point® Software Technologies Ltd. – La société de cybersécurité a publié son tout dernier indice des menaces pour mai 2019, via Check Point Research, son équipe dédiée aux renseignements sur les menaces.  L’équipe de chercheurs conseille aux entreprises de corriger tous les systèmes vulnérables à la faille Microsoft RDP « BlueKeep » (CVE-2019-0708) sur les ordinateurs Windows 7 et Windows Server 2008, pour éviter tout risque d’exploitation par des attaques de logiciels rançonneurs et d’extraction de cryptomonnaie. 

La faille BlueKeep affecte près de 1 million de machines accessibles à Internet, et beaucoup plus dans les réseaux des entreprises.  La vulnérabilité est critique car son exploitation ne nécessite aucune interaction de la part des utilisateurs.  RDP est déjà un vecteur d’attaque établi et couramment exploité, qui a été utilisé pour installer des logiciels rançonneurs tels que SamSam et Dharma.  L’équipe de chercheurs de Check Point constate actuellement de nombreuses tentatives de recherche de la faille, provenant de plusieurs pays différents, ce qui pourrait constituer la phase de reconnaissance initiale d’une attaque. En plus des correctifs Microsoft pertinents, Check Point fournit une protection pour le réseau et les postes contre cette attaque.

Maya Horowitz, directrice du groupe Threat Intelligence chez Check Point, déclare :

« BlueKeep est la plus grande menace que nous ayons détectée le mois dernier. Même si aucune attaque l’exploitant n’a encore été décelée, plusieurs preuves de concept publiques d’une exploitation ont été développées. Nous pensons, tout comme Microsoft et d’autres observateurs du secteur de la cybersécurité, que la faille BlueKeep pourrait être utilisée pour lancer des cyberattaques similaires aux campagnes massives de WannaCry et NotPetya en 2017. Un seul ordinateur vulnérable peut être utilisé pour infecter la totalité d’un réseau. Tous les ordinateurs infectés disposant d’un accès à Internet peuvent alors infecter d’autres appareils vulnérables dans le monde entier, permettant ainsi à l’attaque de se propager de manière exponentielle, à un rythme imparable. Il est donc essentiel que les entreprises se protègent, non seulement elles-mêmes mais également les autres, en corrigeant la faille maintenant, avant qu’il ne soit trop tard. »

Les autres actualités importantes concernant les logiciels malveillants en mai comprenaient l’annonce faite par les développeurs du programme d’affiliation du logiciel rançonneur GandCrab sous forme de service le dernier jour du mois, de l’arrêt des activités, en demandant à leurs affiliés de cesser de diffuser le logiciel rançonneur sous 20 jours. GandCrab est actif depuis janvier 2018. Il a réussi à infecter plus de 50 000 victimes en l’espace de deux mois seulement. Les gains pour les développeurs et leurs affiliées se chiffreraient en milliards de dollars.  Un habitué du top 10 des logiciels malveillants les plus recherchés, GandCrab a fréquemment reçu de nouvelles fonctionnalités pour échapper aux outils de détection.

Top 3 des logiciels malveillants « les plus recherchés » en mai 2019 :

* Les flèches indiquent le changement de position par rapport au mois précédent.

Les trois principaux logiciels malveillants d’extraction de cryptomonnaie, Cryptoloot, XMRig et JSEcoin, continuent de dominer le classement des logiciels malveillants, chacun ayant un impact global de 4 %.

  1. ↔ Cryptoloot – Un extracteur de cryptomonnaie utilisant le processeur central ou le processeur graphique, et les ressources existantes de la victime, ajoutant des transactions à la blockchain et émettant de nouvelles unités de monnaie. Il s’agissait d’un concurrent de Coinhive, qui tentait de le devancer en demandant un pourcentage moins élevé des revenus générés à partir des sites web.
  2. ↔ XMRig – Un logiciel open source utilisant les ressources du processeur pour extraire de la cryptomonnaie monero. Il a été découvert pour la première fois en mai 2017. 
  3. ↔ JSEcoin– Un extracteur en JavaScript qui peut être intégré dans des sites web. Avec JSEcoin, il est possible d’exécuter directement l’extracteur dans un navigateur en échange d’une navigation sans publicité, de la monnaie dans des jeux et d’autres avantages.

Top 3 des logiciels malveillants mobiles « les plus recherchés » en mai 2019 :

Ce mois-ci, Lotoor est le logiciel malveillant mobile le plus répandu, passant de la 2ème place en avril à la 1ère place.  Triada chute de la 1ère à la 3ème place, alors que Hiddad remonte de la 3ème à la 2ème place.

  1. ↑ Lootor – Outil de piratage ciblant des vulnérabilités du système d’exploitation Android afin d’obtenir des privilèges root sur les appareils mobiles compromis.
  1. ↑ Hiddad – Un logiciel malveillant Android reconditionnant des applications légitimes, puis les publiant dans une boutique d’applications tierce. Sa fonction principale est l’affichage de publicités, mais il est également en mesure d’accéder aux informations de sécurité intégrées au système d’exploitation, afin de permettre à l’agresseur d’obtenir les données confidentielles des utilisateurs.
  1.  ↓ Triada – Une porte dérobée modulaire pour Android accordant des privilèges super-utilisateur aux logiciels malveillants téléchargés pour mieux les intégrer dans les processus système. Elle insère également de fausses URL dans le navigateur.

Top 3 des vulnérabilités les plus exploitées en mai 2019 :

En mai, nous avons assisté à un retour des techniques d’attaque traditionnelles (probablement dues à la baisse de la rentabilité des extracteurs de cryptomonnaie), les techniques d’injections SQL étant en tête de la liste des vulnérabilités principalement exploitées avec un impact global de 49 %. La vulnérabilité de récupération d’informations sur le référentiel Git d’un serveur web exposé est en seconde position, et la vulnérabilité de récupération d’informations OpenSSL TLS DTLS Heartbeat est en troisième position. Elles ont touché respectivement 44 % et 41 % des entreprises dans le monde.

  1. ↑ Injection SQL (plusieurs techniques) – Injection de requêtes SQL dans les données fournies par les utilisateurs à des applications, tout en exploitant une faille de sécurité dans ces applications.
  1. ↑ Récupération d’informations sur le référentiel Git d’un serveur web exposé– Une vulnérabilité de récupération d’informations a été signalée dans le référentiel Git. Une exploitation réussie de cette vulnérabilité permettrait la publication non intentionnelle d’informations de compte.
  2. Récupération d’informations OpenSSL TLS DTLS heartbeat (CVE-2014-0160, CVE-2014-0346) – Il existe une vulnérabilité de récupération d’informations dans OpenSSL. Cette vulnérabilité est due à une erreur de gestion des paquets dans la fonction TLS/DTLS heartbeat. Un pirate peut exploiter cette vulnérabilité pour récupérer le contenu de la mémoire d’un client ou d’un serveur connecté.

L’indice Check Point des menaces et la carte ThreatCloud sont alimentés par des renseignements issus de Check Point ThreatCloud, le plus grand réseau collaboratif de lutte contre la cybercriminalité, qui fournit des données et des tendances sur les menaces et les attaques grâce à un réseau mondial de capteurs. La base de données ThreatCloud comprend plus de 250 millions d’adresses analysées pour découvrir des bots, plus de 11 millions de signatures de logiciels malveillants et plus de 5,5 millions de sites web infectés. Elle identifie des millions de types de logiciels malveillants quotidiennement.

* La liste complète des 10 principales familles de logiciels malveillants en mai est disponible sur le Blog Check Point :  https://blog.checkpoint.com/2019/06/13/may-2019-most-wanted-malware-bluekeep-microsoft-rdp-cryptocurrency-malware/.