En France, c’est IcedID, un cheval de Troie bancaire qui a fait son apparition en septembre 2017 qui prend la première place du classement. Il se propage par des campagnes de spam par mail et utilise souvent d’autres malwares comme Emotet pour l’aider à proliférer. IcedID utilise des techniques d’évasion comme l’injection de processus et la stéganographie, et vole les données financières des utilisateurs via des attaques de redirection (il installe un proxy local pour rediriger les utilisateurs vers de faux sites clonés) et des attaques par injection web.

Vidar, un infostealer qui cible les systèmes d’exploitation Windows prend la deuxième place du classement. Détecté pour la première fois fin 2018, il est conçu pour voler des mots de passe, des données de cartes de crédit et d’autres informations sensibles à partir de divers navigateurs Web et portefeuilles numériques. Vidar est vendu sur divers forums en ligne et utilisé comme dropper de malware pour télécharger le ransomware GandCrab comme charge utile secondaire.

Lokibot est un infostealer ordinaire conçu pour récolter les informations d’identification de diverses applications, dont : les navigateurs Web, les services d’e-mail et les outils d’administration informatique À titre de cheval de Troie, son objectif est de se faufiler sans être détecté dans un système en se faisant passer pour un programme légitime. Il peut être distribué par le biais d’e-mails de phishing, de sites Web malveillants, de SMS et autres plateformes de messagerie. Cette hausse de popularité peut s’expliquer par l’augmentation des campagnes de spam ayant pour thème les demandes en ligne, les commandes et les messages de confirmation de paiement.

Au niveau mondial, le mois d’octobre a également vu la divulgation d’une nouvelle vulnérabilité critique, Text4Shell, (CVE-2022-42889). Basé sur la fonctionnalité du texte Apache Commons, il permet de mener des attaques sur un réseau, sans avoir besoin de privilèges spécifiques ou d’interaction avec l’utilisateur. Text4shell n’est pas sans rappeler la vulnérabilité Log4Shell, qui reste, un an après, l’une des principales menaces, se classant au deuxième rang de la liste d’octobre. Bien que Text4Shell ne figure pas dans la liste des vulnérabilités les plus exploitées ce mois-ci, elle a déjà touché plus de 8 % des organisations dans le monde et Check Point continuera à surveiller son impact.

« Nous avons constaté de grands changements dans les classements ce mois-ci, avec une nouvelle série de familles de malwares qui composent le trio de tête. Il est intéressant de constater que Lokibot a regagné la troisième place aussi rapidement, ce qui témoigne d’une tendance croissante aux attaques de phishing. À l’approche du mois de novembre, forte période d’achats, il est important de rester vigilants et de garder l’œil ouvert sur les e-mails suspects qui pourraient contenir des codes malveillants. Soyez attentif aux signes tels qu’un expéditeur inconnu, une demande d’informations personnelles ou encore le partage des liens de connexion. En cas de doute, consultez directement les sites internet et trouvez les informations de contact appropriées auprès de sources vérifiées, et assurez-vous d’avoir installé une protection contre les malwares », déclare Maya Horowitz, VP Recherche chez Check Point Software.
CPR a également révélé que « Web Server Exposed Git Repository Information Disclosure » est la vulnérabilité exploitée la plus courante, affectant 43% des organisations dans le monde, suivie de « Apache Log4j Remote Code Execution » qui est passée de la première à la deuxième place, avec un impact de 41%. Le mois d’octobre a également vu que le secteur de la recherche et de l’éducation a conservé sa première place parmi les secteurs les plus attaqués dans le monde.

Les industries les plus attaquées dans le monde
En France, le secteur des loisirs et de l’hospitalité est le plus ciblé par les attaques de malware. Suivi par celui de l’éducation et de la recherche puis par celui des telco.
Au niveau mondial, la recherche et de l’éducation reste en tête des industries les plus attaquées, suivie par le secteur du gouvernement/militaire et celui des soins de santé.
1. Recherche et Éducation
2. Gouvernement/militaire
3. Les soins de santé

Principales vulnérabilités exploitées
Ce mois-ci, « Web Server Exposed Git Repository Information Disclosure » est la vulnérabilité la plus couramment exploitée, impactant 43% des organisations dans le monde. Elle est suivie par « Apache Log4j Remote Code Execution » qui reste en deuxième position avec un impact de 41% et « HTTP Headers Remote Code Execution » qui prend la troisième place avec un impact global de 39%.

1. ↔ Web Server Exposed Git Repository Information Disclosure - Une vulnérabilité de récupération d’informations a été signalée dans le référentiel Git. L’exploitation réussie de cette vulnérabilité pourrait permettre la divulgation involontaire d’informations de compte.
2. ↔ Apache Log4j Remote Code Execution (CVE-2021-44228) – Une vulnérabilité d’exécution de code à distance existe dans Apache Log4j. L’exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant distant d’exécuter un code arbitraire sur le système affecté.
3. ↑ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter un code arbitraire sur la ’ machine de la victime.

Le Global Threat Impact Index de Check Point et sa carte ThreatCloud sont alimentés par l’intelligence ThreatCloud de Check Point. ThreatCloud fournit des renseignements sur les menaces en temps réel provenant de centaines de millions de capteurs dans le monde entier, sur les réseaux, les terminaux et les mobiles. Le classement mondial d’impact des menaces de Check Point et sa carte ThreatCloud sont alimentés par l’intelligence ThreatCloud de Check Point.