Check Point® Software Technologies Ltd. (NASDAQ : CHKP), l’un des principaux fournisseurs de plateformes de cybersécurité alimentées par l’IA et fournies dans le cloud, a publié son classement mondial des menaces pour le mois de mars 2024. Le mois dernier, des chercheurs ont découvert que des pirates se servaient de fichiers VHD (Virtual Hard Disk) pour déployer Remcos, le cheval de Troie d’accès à distance (RAT). Lockbit3 est resté le groupe de ransomware le plus répandu en mars, malgré avoir été démantelé par les autorités en février, bien que sa fréquence sur les 200 « shame sites » de ransomware surveillés par Check Point soit passée de 20 % à 12 %.

Remcos est un malware notoire qui sévit depuis 2016. Cette dernière campagne déjoue les mesures de sécurité habituelles et permet aux cybercriminels d’accéder librement aux appareils de leurs victimes. Bien qu’il ait été conçu à l’origine pour gérer à distance les systèmes Windows, les cybercriminels n’ont pas tardé à exploiter la capacité de l’outil pour infecter les appareils, réaliser des captures d’écran, enregistrer les frappes au clavier et transmettre les données recueillies à des serveurs hôtes spécifiques. Le cheval de Troie d’accès à distance (Remote Access Trojan RAT) dispose également d’une fonction de publipostage de masse qui permet de lancer des campagnes de distribution et, plus généralement, de créer des réseaux de zombies avec ses différentes fonctions. Le mois dernier, il a grimpé à la quatrième place dans le classement des principaux malwares, alors qu’il n’occupait que la sixième place en février.

« L’évolution des tactiques d’attaque souligne bien à quel point les stratégies cybercriminelles ne cessent de progresser », observe Maya Horowitz, vice-présidente de la recherche chez Check Point Software. « C’est pour cela que les entreprises doivent donner la priorité aux mesures proactives. Si nous restons vigilants, si nous déployons une bonne protection des terminaux et si nous cultivons une culture de sensibilisation à la cybersécurité, c’est ensemble que nous pourrons consolider nos défenses contre ces nouvelles cybermenaces. »

Le classement des ransomwares de Check Point révèle des informations sur les « shame sites » gérés par des groupes de ransomwares à double extorsion qui ont publié des informations sur les victimes. Lockbit3 arrive une fois de plus en tête du classement avec 12 % des attaques enregistrées, suivi de Play (10 %) et de Blackbasta (9 %). Blackbasta, qui entre dans le trio de tête pour la première fois, a revendiqué la responsabilité d’une cyberattaque récente contre Scullion Law, un cabinet d’avocats écossais.

Le mois dernier, la vulnérabilité la plus exploitée était « Web Servers Malicious URL Directory Traversal », qui a touché 50 % des entreprises dans le monde, suivie par « Command Injection Over http» et « Zyxel ZyWALL Command Injection », avec 43 %.

Top des familles de logiciels malveillants
* Les flèches indiquent le changement de position par rapport au mois précédent.

En France, FakeUpdates a été le malware le plus répandu le mois dernier avec des répercussions sur plus de 4,83% des entreprises, suivis par Qbot avec 0,92% et Formbook avec 0,81%.

1. ↔ Fakeupdates– Fakeupdates (AKA SocGholish) est un téléchargeur écrit en JavaScript. Il écrit les charges utiles sur le disque avant de les lancer. Fakeupdates a permis de compromettre de nombreux autres malwares, parmi lesquels GootLoader, Dridex, NetSupport, DoppelPaymer et AZORult.
2. ↔ Qbot - Qbot ou Qakbot est un cheval de Troie bancaire dont la première apparition remonte à 2008. Il a été conçu pour voler les identifiants des utilisateurs, enregistrer les frappes au clavier, voler les cookies des navigateurs, espionner les activités bancaires et déployer d’autres malwares. Souvent diffuse via des spams, Qbot utilise plusieurs techniques anti-VM, anti-débogage et anti-sandbox pour bloquer l’analyse et échapper à la détection. Apparu en 2022, il s’est imposé comme l’un des chevaux de Troie les plus répandus.
3. ↔ Formbook - Formbook est un Infostealer ciblant le système d’exploitation Windows et a été détecté pour la première fois en 2016. Il est commercialisé en tant que Malware as a Service (MaaS) dans les forums de piratage clandestins pour ses excellentes techniques d’évasion et son prix relativement bas. FormBook récolte les informations d’identification de divers navigateurs Web, collecte les captures d’écran, surveille et enregistre les frappes au clavier , et peut télécharger et exécuter des fichiers selon les ordres de son C&C.
Principales vulnérabilités exploitées
Le mois dernier, la vulnérabilité la plus souvent exploitée était « Web Servers Malicious URL Directory Traversal », qui a touché 50 % des entreprises dans le monde. Venait ensuite « Command Injection Over HTTP » avec 48 % et « HTTP Headers Remote Code Execution » avec 43 %.
1. ↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) - Il existe une vulnérabilité de traversée de répertoire sur différents serveurs web. La vulnérabilité est due à une erreur de validation d’entrée dans un serveur web qui ne nettoie pas correctement l’URL pour les motifs de traversée de répertoire. Une exploitation réussie permet à des attaquants distants non authentifiés de divulguer ou d’accéder à des fichiers arbitraires sur le serveur vulnérable.
2. ↔ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) - Une vulnérabilité d’injection de commande sur HTTP a été signalée. Un attaquant à distance peut exploiter ce problème en envoyant une requête spécialement conçue à la victime. Une exploitation réussie devrait permettre à un attaquant d’exécuter un code arbitraire sur la machine cible.
3. ↑ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-1375) - Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter un code arbitraire sur la machine de la victime.

Top des malwares mobiles
Le mois dernier, Anubis est arrivé en tête du classement des malwares mobiles les plus répandus, suivi d’AhMyth et de Cerberus.

1. ↔Anubis – Anubis est un cheval de Troie bancaire conçu pour les téléphones mobiles Android. Depuis sa découverte, il a acquis des fonctions supplémentaires, notamment celle de cheval de Troie d’accès à distance (RAT), d’enregistreur de frappe, de capacité d’enregistrement audio et diverses fonctions de ransomware. Il a été détecté sur des centaines d’applications différentes disponibles dans le Google Store.
2. ↔AhMyth - AhMyth est un cheval de Troie d’accès à distance (RAT) découvert en 2017. Il est distribué via des applications Android que l’on peut trouver sur les magasins d’applications et sur divers sites internet. Quand un utilisateur installe l’une de ces applications compromises, le logiciel malveillant est capable de recueillir des données sensibles à partir de l’appareil et d’effectuer diverses actions telles que la capture de frappes, la collecte de captures d’écran, l’envoi de messages SMS et l’activation de la caméra. Ces actions sont habituellement entreprises dans le but de voler des informations sensibles.
3. ↑ Cerberus - Repéré pour la première fois dans la nature en juin 2019, Cerberus est un cheval de Troie d’accès à distance (RAT) qui dispose de fonctions spécifiques de superposition d’écrans bancaires pour les appareils Android. Cerberus agit selon un modèle de Malware as a Service (MaaS), en se substituant à des banquiers abandonnés comme Anubis et Exobot. Parmi ses fonctionnalités figurent le contrôle des SMS, l’enregistrement des touches, l’enregistrement audio, le suivi de la géolocalisation etc.
Les industries les plus attaqués dans le monde
Le mois dernier, le secteur de la recherche et de l’éducation reste en tête des industries les plus attaquées au niveau mondial, suivi par le secteur du gouvernement/militaire et celui des communications.

En France, les industries les plus ciblées sont :

1. Loisirs / Hospitalités
2. Transports
3. Services publics/militaire
Principaux groupes de ransomware
Cette section présente des informations tirées de près de 200 « shame sites » gérés par des groupes de ransomware à double extorsion, dont 68 ont publié les noms et les informations des victimes cette année. Les données de ces sites de la honte véhiculent leurs propres biais, mais fournissent tout de même des informations précieuses sur l’écosystème des ransomwares.
Le mois dernier, Lockbit3 était le groupe de ransomware le plus répandu, à l’origine de 12% des attaques enregistrées, suivi de Play avec 10%, et de Blackbasta avec 9% .

1. LockBit3 - LockBit3 est un ransomware qui fonctionne dans un modèle RaaS et a été signalé pour la première fois en septembre 2019. LockBit cible les grandes entreprises et les organismes gouvernementaux de divers pays mais ne vise pas les particuliers en Russie ni dans la Communauté des États Indépendants. Bien qu’il ait subi d’importantes interruptions en février 2024 dues à l’action des autorités, LockBit3 a recommencé à publier des informations sur ses victimes.
2. Play - Play Ransomware, également appelé PlayCrypt, est un groupe de ransomwares apparu en juin 2022. Ce ransomware a ciblé un large éventail d’entreprises et d’infrastructures critiques en Amérique du Nord, en Amérique du Sud et en Europe, affectant environ 300 entités avant octobre 2023. Le ransomware Play accède généralement aux réseaux via des comptes actifs compromis ou en exploitant des vulnérabilités non corrigées, comme celles des VPN SSL de Fortinet. Une fois à l’intérieur, il a recours à des techniques telles que l’utilisation de binaires hors sol (LOLBins) pour des tâches comme l’exfiltration de données et le vol d’identifiants
3. Blackbasta - Le ransomware BlackBasta a été observé pour la première fois en 2022 et fonctionne comme un ransomware en tant que service (RaaS). Les acteurs de la menace à l’origine de ce ransomware ciblent principalement les entreprises et les particuliers et exploitent des vulnérabilités RDP et des e-mails de phishing pour diffuser le ransomware.