Deux mois et demi seulement après son retour, Emotet se hisse en tête du classement en France et au niveau international. Ce botnet désormais bien célèbre se propage le plus souvent par le biais d’e-mails de phishing contenant des pièces jointes ou des liens malveillants. La fréquence de son utilisation n’a été favorisée que par la prévalence de Trickbot, qui agit comme un catalyseur et propage davantage le malware. Entre-temps, Dridex a complètement disparu des dix premières places de la liste, et a été remplacé par Lokibot (au niveau mondial), un InfoStealer utilisé pour obtenir des données telles que les identifiants de messagerie, les mots de passe des portefeuilles de CryptoCoin et des serveurs FTP.

« Rien d’étonnant à ce qu’Emotet soit de retour en force. Il s’agit d’un logiciel malveillant évasif, difficile à détecter, et le fait qu’il utilise plusieurs méthodes pour infecter les réseaux ne fait qu’accentuer sa progression. Il est peu probable que ce problème soit passager », a déclaré Maya Horowitz, vice-présidente de la recherche chez Check Point Software. « Au cours du mois de janvier, nous avons également vu Dridex disparaître de top 10 et Lokibot refaire surface. Lokibot profite des victimes au moment où elles sont le plus occupées, car il est distribué via des e-mails de phishing bien déguisés. Ces menaces, ainsi que la bataille contre la vulnérabilité Log4j, soulignent l’importance de disposer d`une sécurité optimale pour les réseaux, le cloud, les terminaux mobiles et les utilisateurs. »

Au niveau mondial, Check Point Research (CPR) révèle ce mois-ci que le secteur de l’éducation et de la recherche reste le plus attaqué au niveau mondial, suivi du secteur gouvernemental/militaire et des ISP/MSP. « Apache Log4j Remote Code Execution » reste la vulnérabilité la plus couramment exploitée, avec un impact sur 47,4% des organisations dans le monde, suivie par « Web Server Exposed Git Repository Information Disclosure » qui affecte 45% des organisations dans le monde. « HTTP Remote Code Execution » reste à la troisième place dans la liste des vulnérabilités les plus exploitées, avec un impact global de 42%.

Top des familles de logiciels malveillants

* Les flèches indiquent le changement de position par rapport au mois précédent.

Ce mois-ci, Emotet est le malware le plus populaire avec un impact global de 5,20% en France (6% au niveau mondial), suivi par Trickbot avec un impact de 3% en France (4% au niveau mondial), et de Formbook avec un impact de 2,30% en France (et 3% au niveau mondial).

1. ? Emotet - Emotet est un cheval de Troie avancé, auto-propagateur et modulaire. Emotet, autrefois utilisé comme cheval de Troie bancaire, a récemment été utilisé comme distributeur d’autres logiciels malveillants ou de campagnes malveillantes. Il utilise de multiples méthodes pour rester actif et emploie des techniques d’évasion pour éviter de se faire repérer. Il peut également se propager par le biais de spams de phishing contenant des pièces jointes ou des liens malveillants.

2. ? Trickbot - Trickbot est un botnet dominant et un cheval de Troie bancaire constamment mis à jour avec de nouvelles capacités, fonctionnalités et vecteurs de distribution. Trickbot peut ainsi être un malware flexible et personnalisable et être distribué dans le cadre de campagnes polyvalentes.

3. ? Formbook - Formbook est un Infostealer qui récolte les informations d’identification de divers navigateurs Web, collecte des captures d’écran, surveille et enregistre les frappes au clavier, et peut télécharger et exécuter des fichiers en fonction de ses ordres C&C.

Les industries les plus attaquées dans le monde

Ce mois-ci, au niveau mondial, c’est le secteur de l’éducation/recherche qui occupe la première place des industries les plus attaquées, suivi du secteur gouvernemental/militaire et du secteur ISP/MSP.

En France, et c’est une nouveauté dans le classement, le secteur des loisirs et du voyage / tourisme est le plus touché par les différentes attaques recensées.

1. Loisirs / voyages et tourisme
2. Éducation/recherche
3. ISP/MSP

Principales vulnérabilités exploitées

Ce mois-ci, « Apache Log4j Remote Code Execution » est la vulnérabilité exploitée la plus courante, affectant 47,4% des organisations dans le monde, suivie de « Web Server Exposed Git Repository Information Disclosure » qui touche 45% des organisations dans le monde. « HTTP Remote Code Execution » reste a la troisième place dans la liste des vulnérabilités les plus exploitées, avec un impact global de 42%.

1. ? Apache Log4j Remote Code Execution (CVE-2021-44228) - Une vulnérabilité d’exécution de code à distance existe dans Apache Log4j. L’exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant distant d’exécuter du code arbitraire sur le système affecté.

2. ? Web Server Exposed Git Repository Information Disclosure - Une vulnérabilité de récupération d’informations a été signalée dans le référentiel Git. Une exploitation réussie de cette vulnérabilité permettrait la publication non intentionnelle d’informations de compte.

3. ? HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) - Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter un code arbitraire sur la machine de la victime.

Top des malwares mobiles

Ce mois-ci, xHelper occupe la 1ère place parmi les logiciels malveillants mobiles les plus répandus, suivi de AlienBot et FluBot.

1. xHelper - Une application malveillante découverte en mars 2019, utilisée pour télécharger d’autres applications malveillantes et afficher des publicités. L’application est capable d’échapper à l’attention des utilisateurs, et de se réinstaller en cas de désinstallation.

2. AlienBot - La famille de malwares AlienBot est un Malware-as-a-Service (MaaS) pour les appareils Android qui permet à un attaquant distant, dans un premier temps, d’injecter du code malveillant dans des applications financières légitimes. L’attaquant obtient l’accès aux comptes des victimes, et finit par contrôler complètement leur dispositif.

3. FluBot - FluBot est un botnet Android distribué via des SMS de phishing, le plus souvent en se faisant passer pour des marques de livraison logistique. Une fois que l’utilisateur clique sur le lien contenu dans le message, FluBot est alors installé et a accès à toutes les informations sensibles du téléphone.

L’indice mondial d’impact des menaces de Check Point et sa carte ThreatCloud sont alimentés par l’intelligence ThreatCloud de Check Point. ThreatCloud fournit des renseignements sur les menaces en temps réel provenant de centaines de millions de capteurs dans le monde entier, sur les réseaux, les terminaux et les mobiles. L’indice mondial d’impact des menaces de Check Point et sa carte ThreatCloud sont alimentés par l’intelligence ThreatCloud de Check Point.