Check Point Research a constaté une forte augmentation des infections du botnet Emotet, qui diffuse des campagnes de spam visant à voler des identifiants bancaires et se propager dans les réseaux ciblés, après plusieurs mois d’inactivité
Check Point® Software Technologies Ltd. - code NASDAQ : CHKP-, l’un des principaux fournisseurs de solutions de cybersécurité dans le monde, a publié son tout dernier indice Check Point d’impact des menaces pour juillet 2020, via Check Point Research, son équipe dédiée aux renseignements sur les menaces. Les chercheurs ont constaté qu’après une absence de cinq mois, Emotet est de retour à la 1ère place de l’indice, touchant 5 % des entreprises dans le monde.
Depuis février 2020, les activités d’Emotet, qui consistent principalement à diffuser des campagnes de spam, ont commencé à ralentir pour finalement cesser, jusqu’à leur réapparition en juillet. Cette tendance a également été observée en 2019, lorsque le botnet Emotet a cessé ses activités pendant les mois d’été, puis les a repris en septembre.
En juillet, Emotet a lancé des campagnes de spam, infectant ses victimes avec TrickBot et Qbot, qui sont utilisés pour voler des identifiants bancaires et se répandre dans les réseaux. Certaines des campagnes de spam contenaient des fichiers Word malveillants portant des noms tels que « formulaire.doc » ou « facture.doc ». Selon les chercheurs, les documents malveillants activent un PowerShell pour extraire le fichier binaire Emotet à partir de sites web distants et infecter les machines, les ajoutant ainsi au botnet. La reprise des activités d’Emotet souligne l’ampleur et la puissance du botnet au niveau mondial.
"Il est intéressant de noter qu’Emotet a été mis en sommeil pendant plusieurs mois au début de cette année, répétant ce que nous avions observé pour la première fois en 2019. On peut supposer que les développeurs à l’origine du botnet ont mis à jour ses fonctionnalités et ses capacités. Mais comme il est à nouveau actif, les entreprises doivent former leurs collaborateurs à l’identification des types de spam qui véhiculent ces menaces et les avertir des risques d’ouvrir les pièces jointes des emails ou de cliquer sur des liens provenant de sources externes. Les entreprises devraient également envisager de déployer des solutions de protection contre les logiciels malveillants, capables d’empêcher ces contenus d’atteindre les utilisateurs finaux," déclare Maya Horowitz, directrice de la recherche et de l’intelligence sur les menaces chez Check Point.
L’équipe de chercheurs prévient également que la vulnérabilité "d’exécution de code à distance MVPower DVR" est la vulnérabilité la plus couramment exploitée, touchant 44 % des entreprises dans le monde, suivie de près par la vulnérabilité de "récupération d’informations OpenSSL TLS DTLS heartbeat" qui touche 42 % des entreprises dans le monde. La vulnérabilité "d’injection de commandes sur HTTP" est en troisième position, avec un impact global de 38 %.
Principales familles de logiciels malveillants
* Les flèches indiquent le changement de position par rapport au mois précédent.
Ce mois-ci, Emotet est le logiciel malveillant le plus populaire touchant 5 % des entreprises au niveau mondial, suivi de près par Dridex et Agent Tesla qui touchent chacun 4 % des entreprises.
1.↑ Emotet – Un cheval de Troie avancé, autonome et modulaire. Auparavant un cheval de Troie bancaire, il est actuellement utilisé pour diffuser d’autres logiciels malveillants ou mener d’autres campagnes malveillantes. Il utilise plusieurs techniques de persistance et d’évasion pour échapper à toute détection. Il peut être transmis via des emails de spam et de phishing contenant des pièces jointes ou des liens malveillants.
2. ↑ Dridex – Un cheval de Troie ciblant la plateforme Windows et téléchargé via une pièce jointe d’un email de spam. Il contacte un serveur distant et envoie des informations sur le système ciblé, et peut télécharger et exécuter des modules arbitraires reçus depuis le serveur distant.
3. ↓ Agent Tesla – Un outil malveillant d’accès à distance capable de surveiller et de collecter les frappes au clavier et le contenu du presse-papiers, d’effectuer des captures d’écran et d’exfiltrer les identifiants de différents logiciels installés sur la machine de la victime - y compris Google Chrome, Mozilla Firefox et le client de messagerie Microsoft Outlook-.
Principales vulnérabilités exploitées
Ce mois-ci, la "récupération d’informations OpenSSL TLS DTLS heartbeat" était la vulnérabilité la plus couramment exploitée, touchant 44 % des entreprises dans le monde, suivie par la vulnérabilité "d’exécution de code à distance MVPower DVR » avec un impact global de 41 %. La vulnérabilité "d’injection de commandes sur HTTP" est en troisième position, avec un impact global de 38 %.
1.↑ Exécution de code à distance MVPower DVR – Une vulnérabilité d’exécution de code à distance existe dans les appareils MVPower DVR. Un pirate peut exploiter cette vulnérabilité à distance pour exécuter du code arbitraire dans le routeur affecté via une requête spécialement conçue.
2.↓ Récupération d’informations OpenSSL TLS DTLS heartbeat - CVE-2014-0160, CVE-2014-0346- Il existe une vulnérabilité de récupération d’informations dans OpenSSL. Cette vulnérabilité est due à une erreur de gestion des paquets dans la fonction TLS/DTLS heartbeat. Un pirate peut exploiter cette vulnérabilité pour récupérer le contenu de la mémoire d’un client ou d’un serveur connecté.
3.↑ Injection de commandes sur HTTP - Une vulnérabilité d’injection de commandes sur HTTP a été signalée. Un pirate distant peut exploiter cette vulnérabilité en envoyant une requête spécialement conçue à la victime. Une exploitation réussie de cette vulnérabilité permettrait à un pirate d’exécuter du code arbitraire sur la machine ciblée.
Principales familles de logiciels malveillants mobiles
Ce mois-ci, xHelper est le logiciel malveillant le plus populaire, suivi de Necro et de PreAMo.
1. xHelper – Une application malveillante découverte en mars 2019, utilisée pour télécharger d’autres applications malveillantes et afficher des publicités. L’application est capable d’échapper à l’attention des utilisateurs, et de se réinstaller en cas de désinstallation.
2. Necro – Un cheval de Troie de téléchargement de logiciels malveillants sur Android, capable de télécharger d’autres logiciels malveillants, d’afficher des publicités intrusives et de voler de l’argent en facturant des abonnements.
3. PreAMo – Un logiciel malveillant sur Android qui imite les actions de l’utilisateur en cliquant sur des bannières récupérées auprès de trois réseaux publicitaires : Presage, Admob et Mopub.
L’indice Check Point des menaces et la carte ThreatCloud sont alimentés par des renseignements issus de Check Point ThreatCloud, le plus grand réseau collaboratif de lutte contre la cybercriminalité, qui fournit des données et des tendances sur les menaces et les attaques grâce à un réseau mondial de capteurs. La base de données ThreatCloud inspecte plus de 2,5 milliards de sites web et 500 millions de fichiers par jour, et identifie plus de 250 millions d’activités de logiciels malveillants chaque jour.
La liste complète des 10 principales familles de logiciels malveillants en juillet est disponible sur le Blog Check Point
Des ressources Check Point pour la prévention des menaces sont disponibles sur http://www.checkpoint.com/threat-prevention-resources/index.htm
Pour de plus amples informations rendez-vous sur www.checkpoint.com
Le 13 août 2020