“Trickbot est un botnet et un Trojan bancaire capable de voler des informations financières et des informations d’identification personnelle, ainsi que de se propager au sein d’un réseau et de répandre des ransomwares. Depuis janvier, Trickbot a figuré cinq fois en tête du classement des logiciels malveillants les plus répandus. Il est constamment mis à jour avec de nouvelles capacités, fonctionnalités et vecteurs de distribution, ce qui en fait un logiciel malveillant flexible et personnalisable susceptible d’être distribué dans le cadre de campagnes multiples. D’ailleurs, le botnet Emotet a été remis en activité. Il se reconstruit par le biais du malware Trickbot.” explique Rudy Malka, SE Team Leader chez Check Point Software Technologies, Ltd.

Une nouvelle vulnérabilité, « Apache HTTP Server Directory Traversal », est entrée dans la liste des dix vulnérabilités les plus exploitées en octobre, à la dixième place. Lorsqu’il a été découvert, les développeurs d’Apache ont publié des correctifs pour CVE-2021-41773 dans Apache HTTP Server 2.4.50. Cependant, le correctif s’est avéré insuffisant, et une vulnérabilité de traversée de répertoire existe toujours dans le serveur HTTP Apache. Si l’exploitation de cette vulnérabilité aboutit, un attaquant pourrait accéder à des fichiers arbitraires sur le système concerné.

« La vulnérabilité d’Apache n’a été découverte qu’au début du mois d’octobre et figure déjà parmi les dix vulnérabilités les plus exploitées au monde, prouvant ainsi la rapidité d’action des attaquants. Cette vulnérabilité peut amener les acteurs de la menace à faire correspondre des URL à des fichiers extérieurs à la racine du document concerné en lançant une attaque de type path traversal », déclare Maya Horowitz, vice-présidente de la recherche chez Check Point Software. « Il est impératif que les utilisateurs d’Apache mettent en place des technologies de protection appropriées. Ce mois-ci, Trickbot, qui sert souvent à déposer des ransomwares, est une fois de plus le malware le plus répandu. Chaque semaine, une organisation sur 61 est touchée par un ransomware dans le monde. C’est un chiffre alarmant, les entreprises doivent redoubler d’efforts. De nombreuses attaques commencent par un simple e-mail, donc éduquer les utilisateurs sur la manière d’identifier une menace potentielle est l’une des défenses les plus importantes qu’une organisation puisse déployer. »

CPR a également indiqué ce mois-ci que l’éducation/recherche est le secteur le plus attaqué sur le plan mondial, suivi par les communications et les instances gouvernementales/militaires. « Web Servers Malicious URL Directory Traversal » est la vulnérabilité la plus couramment exploitée, touchant 60 % des organisations dans le monde, suivie par « Web Server Exposed Git Repository Information Disclosure » qui touche quant à elle 55 % des organisations dans le monde. « HTTP Remote Code Execution » reste à la troisième place dans la liste des vulnérabilités les plus exploitées, avec un impact global de 54%.

Top des familles de logiciels malveillants au monde :

* Les flèches indiquent le changement de position par rapport au mois précédent.

Ce mois-ci, Trickbot est le malware le plus populaire avec un impact global de 4% des entreprises, suivi par XMRig avec 3% et Remcos 2%.
1. ? Trickbot - Trickbot est un botnet dominant et un cheval de Troie bancaire constamment mis à jour avec de nouvelles capacités, fonctionnalités et vecteurs de distribution. Trickbot peut ainsi être un malware flexible et personnalisable et être distribué dans le cadre de campagnes polyvalentes.
2. ? - XMRig est un logiciel de minage de CPU open-source utilisé sur la crypto-monnaie Monero et apparu pour la première fois en mai 2017.
3. ? Remcos - Remcos est un RAT qui est apparu pour la première fois en 2016. Remcos se distribue par le biais de documents Microsoft Office malveillants joints à des e-mails de spam. Il est conçu pour contourner la sécurité UAC de Microsoft Windows et exécuter le malware avec des privilèges de haut niveau.

Les industries les plus attaquées dans le monde :

Ce mois-ci, la catégorie Éducation/Recherche est l’industrie la plus attaquée au niveau mondial, suivie par les communications et les services publics/militaires.

1. Éducation/Recherche
2. Communications
3. Services publics/militaires

Principales vulnérabilités exploitées

Ce mois-ci, « Web Servers Malicious URL Directory Traversal » est la vulnérabilité exploitée la plus courante, affectant 60% des organisations dans le monde, suivie de « Web Server Exposed Git Repository Information Disclosure » qui touche 55% des organisations dans le monde. « HTTP Remote Code Execution » occupe la troisième place dans la liste des vulnérabilités les plus exploitées, avec un impact global de 54%.

1. ? Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) - Il existe une vulnérabilité de traversée de répertoire sur différents serveurs Web. La vulnérabilité est due à une erreur de validation d’entrée dans un serveur web qui ne nettoie pas correctement l’URL pour les modèles de traversée de répertoire. Une exploitation réussie permet à des attaquants distants non authentifiés de divulguer ou d’accéder à des fichiers arbitraires sur le serveur vulnérable.
2. ? Web Server Exposed Git Repository Information Disclosure - Une vulnérabilité de récupération d’informations a été signalée dans le référentiel Git. Une exploitation réussie de cette vulnérabilité permettrait la publication non intentionnelle d’informations de compte.
3. ? HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter un code arbitraire sur la machine de la victime.

Top des malwares mobiles

Ce mois-ci, xHelper occupe la 1ère place parmi les logiciels malveillants mobiles les plus répandus, suivi de AlienBot et XLoader.

1. xHelper - Une application malveillante découverte en mars 2019, utilisée pour télécharger d’autres applications malveillantes et afficher des publicités. L’application est capable d’échapper à l’attention des utilisateurs et de se réinstaller en cas de désinstallation.
2. AlienBot - La famille de malwares AlienBot est un Malware-as-a-Service (MaaS) pour les appareils Android qui permet à un attaquant distant, dans un premier temps, d’injecter du code malveillant dans des applications financières légitimes. L’attaquant obtient l’accès aux comptes des victimes, et finit par contrôler complètement leur dispositif.
3. XLoader - XLoader est un logiciel espion Android et un cheval de Troie bancaire développé par le Yanbian Gang, un groupe de pirates informatiques chinois. Ce malware utilise l’usurpation de DNS pour distribuer des applications Android infectées, afin de collecter des informations personnelles et financières.

L’indice mondial d’impact des menaces de Check Point et sa carte ThreatCloud sont alimentés par l’intelligence ThreatCloud de Check Point. ThreatCloud fournit des renseignements sur les menaces en temps réel provenant de centaines de millions de capteurs dans le monde entier, sur les réseaux, les terminaux et les mobiles. L’intelligence est enrichie par des moteurs basés sur l’IA et des données de recherche exclusives provenant de Check Point Research - la branche intelligence et recherche de Check Point.