Trickbot, malware le plus actif au monde, pour le 2ème mois consécutif

0

Souvent utilisé dans les phases initiales des attaques par ransomware, Trickbot est le logiciel malveillant le plus répandu pour le deuxième mois consécutif. En France, il a opéré dans 6,31% des cyberattaques observées par Check Point.

Check Point Research (CPR), la branche de renseignement sur les menaces de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), l’un des principaux fournisseurs de solutions de cybersécurité dans le monde, publie son classement des menaces pour le mois de juin 2021. Et pour le deuxième mois consécutif, le malware le plus actif au niveau mondial, et notamment en France, est Trickbot. 

Trickbot est un botnet et un Trojan bancaire capable de voler des informations financières et des informations d’identification personnelle, ainsi que de se propager au sein d’un réseau et de répandre des ransomwares. Le mois dernier, CPR a indiqué que le nombre hebdomadaire moyen d’attaques par ransomware avait augmenté de 93 % au cours des 12 derniers mois, et a également prévenu que ces attaques ne commencent pas souvent par un ransomware. Par exemple, dans les attaques par ransomware de Ryuk, le malware Emotet a été utilisé pour infiltrer le réseau, qui a ensuite été infecté par le principal malware du mois, Trickbot, avant que le ransomware ne finisse par chiffrer les données.

Depuis que le botnet Emotet a été démantelé en janvier, le cheval de Troie et le botnet Trickbot ont gagné en popularité. Il a également été récemment associé à une nouvelle souche de ransomware appelée « Diavol ». Trickbot est constamment mis à jour avec de nouvelles capacités, fonctionnalités et vecteurs de distribution, ce qui en fait un logiciel malveillant flexible et personnalisable susceptible d’être distribué dans le cadre de campagnes polyvalentes.

Xavier Duros, CTO de Check Point Software France explique : « Les groupes de ransomware bien connus, tels que Ryuk et REvil, s’appuient d’abord sur plusieurs formes de logiciels malveillants pour les étapes initiales de l’infection, l’une d’entre elles étant le logiciel malveillant le plus populaire de ce mois-ci, Trickbot. Toutes les organisations doivent être réellement conscientes des risques et s’assurer que des solutions anti-ransomware adéquates sont en place. Outre le botnet et le cheval de Troie bancaire Trickbot, la liste de ce mois-ci comprend un large éventail de types de logiciels malveillants, parmi lesquels des botnets, des voleurs d’informations, des portes dérobées, des RAT et des logiciels mobiles. Il est essentiel que les entreprises disposent des technologies appropriées pour faire face à une telle multiplicité de menaces. Si elles le font, la majorité des attaques, même les plus avancées telles que REvil, peuvent être évitées sans perturber le flux normal des activités ».

CPR révèle également ce mois-ci que « HTTP Headers Remote Code Execution » est la vulnérabilité la plus couramment exploitée, avec un impact sur 47 % des organisations dans le monde, suivie par « MVPower DVR Remote Code Execution » qui a un impact sur 45 % des organisations dans le monde. « Dasan GPON Router Authentication Bypass (CVE-2018-10561) » occupe la troisième place dans la liste des vulnérabilités les plus exploitées, avec un impact global de 44%.

Top des familles de logiciels malveillants

* Les flèches indiquent le changement de position par rapport au mois précédent.

Ce mois-ci, Trickbot est le malware le plus populaire avec un impact global de 7% des entreprises, suivi par XMRig et Formbook qui touchent tous les deux 3% des entreprises dans le monde.

  1. Trickbot – Trickbot est un botnet dominant et un cheval de Troie bancaire constamment mis à jour avec de nouvelles capacités, fonctionnalités et vecteurs de distribution. Trickbot peut ainsi être un malware flexible et personnalisable et être distribué dans le cadre de campagnes polyvalentes.
  1. XMRig – XMRig est un logiciel de minage de CPU open-source utilisé sur la crypto-monnaie Monero et apparu la première fois en mai 2017.
  2. ↔ Formbook – Formbook est un Infostealer qui récolte les informations d’identification de divers navigateurs Web, collecte des captures d’écran, surveille et enregistre les frappes au clavier, et peut télécharger et exécuter des fichiers en fonction de ses ordres C&C.

 Principales vulnérabilités exploitées

Ce mois-ci, «HTTP Headers Remote Code Execution » est la vulnérabilité exploitée la plus courante, affectant 47% des entreprises dans le monde, suivie de « MVPower DVR Remote Code Execution » qui touche 45% d’entre elles. « Dasan GPON Router Authentication Bypass » occupe la troisième place dans la liste des vulnérabilités les plus exploitées, avec un impact global de 44%.

  1. ↑ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter un code arbitraire sur la machine de la victime.
  2. MVPower DVR Remote Code Execution – une vulnérabilité d’exécution de code à distance qui existe dans les appareils MVPower DVR. Un pirate peut exploiter cette vulnérabilité à distance pour exécuter du code arbitraire dans le routeur affecté via une requête spécialement conçue.
  3. Dasan GPON Router Authentication Bypass (CVE-2018-10561) – vulnérabilité de contournement d’authentification qui existe dans les routeurs GPON de Dasan. L’exploitation réussie de cette vulnérabilité permettrait à des attaquants à distance d’obtenir des informations sensibles et un accès non autorisé au système concerné.

Top malwares mobiles

Ce mois-ci, xHelper occupe la 1ère place parmi les logiciels malveillants mobiles les plus répandus, suivi de Hiddad et XLoader.

  1. xHelper – Une application malveillante découverte en mars 2019, utilisée pour télécharger d’autres applications malveillantes et afficher des publicités. L’application est capable d’échapper à l’attention des utilisateurs et de se réinstaller en cas de désinstallation.    
  2. Hiddad – Hiddad est un malware Android qui reconditionne les applications légitimes, puis les libère dans un magasin tiers. Sa fonction principale est d’afficher des publicités, mais il peut également accéder aux principaux détails de sécurité intégrés au système d’exploitation.
  3. XLoader – XLoader est un logiciel espion Android et un cheval de Troie bancaire développé par le Yanbian Gang, un groupe de pirates informatiques chinois. Ce malware utilise l’usurpation de DNS pour distribuer des applications Android infectées, afin de collecter des informations personnelles et financières.

Le classement mondial d’impact des menaces de Check Point et sa carte ThreatCloud sont alimentés par l’intelligence ThreatCloud de Check Point, le plus grand réseau collaboratif de lutte contre la cybercriminalité qui fournit des données sur les menaces et les tendances des attaques à partir d’un réseau mondial de capteurs de menaces. La base de données ThreatCloud inspecte plus de 3 milliards de sites web et 600 millions de fichiers par jour, et identifie plus de 250 millions d’activités malveillantes chaque jour.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.