Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Check Point Threat Index : Le ransomware « Locky » revient en force

octobre 2017 par Check Point

Check Point® Software Technologies Ltd. révèle dans son dernier Threat Index une augmentation massive du nombre d’attaques de Locky à l’échelle mondiale au cours du mois de septembre. Le logiciel rançonneur a touché 11,5 % des entreprises dans le monde.

Locky n’est pas apparu dans ce classement des 10 menaces les plus répandues chaque mois depuis novembre 2016, mais il a fortement progressé en septembre, grâce au botnet Necurs, lui-même classé en dixième position dans la liste. Ces attaques ont propulsé Locky de 25 places dans l’indice, juste derrière la campagne de publicités malveillantes RoughTed.

La diffusion de Locky a commencé en février 2016 et il est rapidement devenu l’une des familles de logiciels malveillants les plus notables au monde. Il se propage principalement via des emails de spam comportant un téléchargeur déguisé en pièce jointe Word ou Zip contenant des macros malveillantes. Lorsque les utilisateurs, généralement piégés par des instructions d’ingénierie sociale, activent ces macros, la pièce jointe télécharge et installe le logiciel malveillant qui chiffre les fichiers des utilisateurs. Un message demande aux utilisateurs de télécharger le navigateur Tor et de se rendre sur une page web exigeant le paiement d’une rançon en bitcoin. En juin 2016, le botnet Necurs a publié une nouvelle version de Locky contenant de nouvelles techniques pour échapper à toute détection.

La résurgence de Locky montre que les entreprises ne doivent jamais se reposer sur leurs lauriers en ce qui concerne les logiciels malveillants. Les cybercriminels sophistiqués recherchent continuellement des moyens de peaufiner les outils existants pour les rendre encore plus puissants, tandis que des botnets avancés peuvent réactiver d’anciennes variantes pour leur permettre de cibler rapidement des utilisateurs dans le monde entier. Le fait que plus d’une entreprise sur dix dans le monde ait pu être affectée par une seule famille de logiciel rançonneur en un mois démontre bien que les logiciels malveillants existants peuvent être tout aussi dangereux que les nouvelles versions.

Top 3 des logiciels malveillants « les plus recherchés » en septembre 2017 : * Les flèches indiquent le changement de position par rapport au mois précédent.

1. ↔ Roughted - Ce logiciel de publicités malveillantes à grande échelle est utilisé pour diffuser des sites web malveillants et des charges embarquées malveillantes telles que des escroqueries, des logiciels publicitaires, des kits d’exploitation de vulnérabilités et des logiciels rançonneurs. Il est en mesure d’attaquer n’importe quel type de plate-forme et de système d’exploitation, et utilise des techniques de prise d’empreintes et de contournement de bloqueurs de publicités pour délivrer l’attaque la plus pertinente. 2. ↑ Locky - Un logiciel rançonneur dont la diffusion a débuté en février 2016, qui se propage principalement via des emails de spam contenant un téléchargeur déguisé en pièce jointe au format Word ou Zip. Il télécharge et installe un logiciel malveillant chiffrant les fichiers des utilisateurs. 3. ↓ Globeimposter - Logiciel rançonneur déguisé en variante du logiciel rançonneur Globe. Il a été découvert en mai 2017 et est diffusé par des campagnes de spam, des publicités malveillantes et des kits d’exploitation de vulnérabilités. Lors du chiffrement des fichiers, le logiciel rançonneur leur ajoute l’extension .crypt.

HackerDefender, un rootkit en mode utilisateur pour Windows, qui était le troisième logiciel malveillant le plus répandu au mois d’août, est sorti du top 10.

Triada était le logiciel malveillant le plus populaire utilisé pour attaquer les appareils mobiles des entreprises, remontant depuis la troisième place, suivi par Hiddad et Lotoor.

Top 3 des logiciels malveillants mobiles « les plus recherchés » :
1. Triada - Une porte dérobée modulaire pour Android accordant des privilèges super-utilisateur aux logiciels malveillants téléchargés pour mieux les intégrer dans les processus système. Triada charge également de fausses URL dans le navigateur.
2. Hiddad - Un logiciel malveillant Android reconditionnant des applications légitimes, puis les publiant dans une boutique d’applications tierce. Sa fonction principale est l’affichage de publicités, mais il est également en mesure d’accéder aux informations de sécurité intégrées au système d’exploitation, afin de permettre à l’agresseur d’obtenir les données confidentielles des utilisateurs.
3. Lootor - Un outil de piratage ciblant des vulnérabilités des systèmes d’exploitation Android afin d’obtenir des privilèges root sur les appareils mobiles compromis.

« S’il restait des entreprises qui doutaient encore de la gravité des menaces posées par les logiciels rançonneurs, ces statistiques devraient les faire réfléchir à deux fois, » ajoute Maya Horowitz, Threat Intelligence, Group Manager chez Check Point. « Nous avons des logiciels rançonneurs occupant deux des trois premières places, l’un relativement nouveau qui vient d’émerger cette année, et l’autre, une famille plus ancienne qui vient juste de faire un retour spectaculaire. Il suffit d’un seul employé trompé par une tentative d’ingénierie sociale pour qu’une entreprise soit placée dans une position extrêmement compromettante. »

Chez Check Point, nous pensons qu’il est important de déployer une stratégie de cybersécurité à plusieurs niveaux, qui protège contre les familles de logiciels malveillants existantes ainsi que les nouvelles menaces zero-day. Les outils de cybersécurité efficaces recherchent des comportements suspects ou des caractéristiques générales, telles que des macros intégrées dans des documents, et pas seulement des signatures de logiciels malveillants courants. C’est l’approche adoptée par SandBlast™ Zero-Day Protection et Mobile Threat Prevention.

L’indice Check Point d’impact des menaces et la carte ThreatCloud sont alimentés par des renseignements issus de Check Point ThreatCloud, le plus grand réseau collaboratif conçu pour la lutte contre la cybercriminalité, qui fournit des données et des tendances sur les menaces et les attaques grâce à un réseau mondial de capteurs. La base de données ThreatCloud comprend plus de 250 millions d’adresses analysées pour découvrir des bots, plus de 11 millions de signatures de logiciels malveillants et plus de 5,5 millions de sites web infectés. Elle identifie des millions de types de logiciels malveillants quotidiennement.




Voir les articles précédents

    

Voir les articles suivants