Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Classement Top Malware - mai 2024 : le botnet Phorpiex déclenche une frénésie de phishing, LockBit3 reprend la main

juin 2024 par Check Point Software Technologies Ltd.

Les chercheurs ont découvert une campagne de diffusion de ransomware orchestrée par le botnet Phorpiex qui cible des millions d’utilisateurs par le biais d’e-mails de phishing ; De son côté, le groupe de ransomware Lockbit3 a repris du service après une courte interruption et représente un tiers des attaques par ransomware enregistrées

Check Point® Software Technologies Ltd., l’un des principaux fournisseurs de plateformes de cybersécurité alimentées par l’IA et hébergées dans le cloud, a publié son classement mondial des menaces du mois de mai 2024. Le mois dernier, des chercheurs ont démasqué une campagne de malspam orchestrée par le botnet Phorpiex. La campagne a permis d’envoyer des millions d’e-mails de phishing contenant LockBit Black, basé sur LockBit3 mais non affilié au groupe de ransomwares. Dans un contexte différent, LockBit3, le groupe de ransomware-as-a-Service (RaaS), a vu sa popularité augmenter après une brève interruption après un démantèlement mondial par les forces de l’ordre et représente 33 % des attaques enregistrées.

Les premiers opérateurs du botnet Phorpiex ont cessé leurs activités et vendu le code source en août 2021. En décembre 2021, Check Point Research (CPR) a pourtant découvert qu’il avait réapparu sous la forme d’une nouvelle variante appelée « Twizt » et qu’il fonctionnait selon un modèle peer-to-peer décentralisé. En avril de cette année, la cellule d’intégration de la cybersécurité et des communications du New Jersey (NJCCIC) (https://apo-opa.co/4ceXqPc) a trouvé des preuves que le botnet Phorpiex, classé sixième dans le classement des menaces du mois dernier, permettait d’envoyer des millions d’e-mails de phishing dans le cadre d’une campagne de ransomware LockBit3. Ces e-mails contenaient des pièces jointes ZIP (https://apo-opa.co/4ceXtum) qui, lorsque les fichiers .doc.scr trompeurs qu’ils contenaient étaient exécutés, déclenchaient le processus de chiffrement du ransomware. Plus de 1500 adresses IP uniques, principalement du Kazakhstan, de l’Ouzbékistan, de l’Iran, de la Russie et de la Chine, ont été utilisées dans le cadre de cette campagne.

Dans le même temps, le classement des menaces de Check Point met en lumière les « shame sites » gérés par des groupes de ransomware à double extorsion, qui publient des informations sur les victimes pour faire pression sur celles qui refusent de payer. LockBit3 a réaffirmé sa suprématie en mai puisqu’il est à l’origine de 33 % des attaques enregistrées. Il est suivi de Inc. Ransom avec 7% et Play avec un taux de détection de 5%. Inc. Ransom a récemment revendiqué la responsabilité d’un cyberincident de grande ampleur qui a perturbé les services publics du Leicester City Council (https://apo-opa.co/4bUharv) au Royaume-Uni. Il aurait dérobé plus de 3 téraoctets de données et provoqué un arrêt généralisé du système.

« Même si les autorités ont réussi à perturber LockBit3 temporairement en exposant certains de ses membres et en publiant plus de 7 000 clés de déchiffrement LockBit (https://apo-opa.co/3KHKcim), la menace persiste. Il n’est pas étonnant de les voir se réorganiser et adopter de nouvelles stratégies pour poursuivre leurs activités », a déclaré Maya Horowitz, vice-présidente de la recherche chez Check Point Software. « Il est important de comprendre que le ransomware est l’une des méthodes d’attaque les plus extrêmes utilisées par les cybercriminels. Une fois qu’ils ont infiltré le réseau et extrait des informations, les options pour la cible deviennent limitées, surtout si elle n’a pas les ressources pour payer la rançon demandée. C’est pourquoi les entreprises doivent être vigilantes face aux risques et accorder la priorité aux mesures préventives. »

Top des familles de logiciels malveillants

* Les flèches indiquent le changement de position par rapport au mois précédent.

FakeUpdates a été le malware le plus répandu le mois dernier avec un impact de plus de 7% sur les entreprises dans le monde entier, suivi de Androxgh0st avec 5% et Qbot, avec 3%.

Fakeupdates– Fakeupdates (AKA SocGholish) est un téléchargeur écrit en JavaScript. Il écrit les charges utiles sur le disque avant de les lancer. Fakeupdates a permis de compromettre de nombreux autres malwares, parmi lesquels GootLoader, Dridex, NetSupport, DoppelPaymer et AZORult.

Androxgh0st - Androxgh0st est un botnet qui cible les plateformes Windows, Mac et Linux. Pour la contamination initiale, Androxgh0st exploite de nombreuses vulnérabilités, et cible en particulier PHPUnit, Laravel Framework et le serveur Web Apache. Le malware vole des informations sensibles telles que les informations du compte Twilio, les identifiants SMTP, la clé AWS, etc. Il récupère les fichiers de Laravel pour collecter des informations sur le serveur Apache. Il présente plusieurs variantes qui recherchent des informations différentes.

Qbot - Qbot ou Qakbot est un cheval de Troie bancaire dont la première apparition remonte à 2008. Il a été conçu pour voler les identifiants des utilisateurs, enregistrer les frappes au clavier, voler les cookies des navigateurs, espionner les activités bancaires et déployer d’autres malwares. Souvent diffusé via des spams, Qbot utilise plusieurs techniques anti-VM, anti-débogage et anti-sandbox pour bloquer l’analyse et échapper à la détection. Apparu en 2022, il s’est imposé comme l’un des chevaux de Troie les plus répandus.

Principales vulnérabilités exploitées

Le mois dernier, la vulnérabilité « Command Injection Over HTTP » a été la plus exploitée, avec un impact de 50% des entreprises au niveau mondial, suivie par « Web Servers Malicious URL Directory Traversal » avec 47 % et « Apache Log4j Remote Code Execution » avec un impact mondial de 46 %.

Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) - Une vulnérabilité d’injection de commande sur HTTP a été signalée. Un attaquant à distance peut exploiter ce problème en envoyant une requête spécialement conçue à la victime. Une exploitation réussie devrait permettre à un attaquant d’exécuter un code arbitraire sur la machine cible.

Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) - Il existe une vulnérabilité de traversée de répertoire sur différents serveurs web. La vulnérabilité est due à une erreur de validation d’entrée dans un serveur web qui ne nettoie pas correctement l’URL pour les motifs de traversée de répertoire. Une exploitation réussie permet à des attaquants distants non authentifiés de divulguer ou d’accéder à des fichiers arbitraires sur le serveur vulnérable.

Apache Log4j Remote Code Execution (CVE-2021-44228) - Une vulnérabilité d’exécution de code à distance existe dans Apache Log4j. Un pirate peut exploiter cette vulnérabilité à distance pour exécuter du code arbitraire dans le routeur affecte via une requête spécialement conçue.

Top des malwares mobiles

Le mois dernier, Anubis est arrivé en tête du classement des malwares mobiles les plus répandus, suivi d’AhMyth et de Hydra.

Anubis – Anubis est un cheval de Troie bancaire conçu pour les téléphones mobiles Android. Depuis sa découverte, il a acquis des fonctions supplémentaires, notamment celle de cheval de Troie d’accès à distance (RAT), d’enregistreur de frappe, de capacité d’enregistrement audio et diverses fonctions de ransomware. Il a été détecté sur des centaines d’applications différentes disponibles dans le Google Store.

AhMyth - AhMyth est un cheval de Troie d’accès à distance (RAT) découvert en 2017. Il est distribué via des applications Android que l’on peut trouver sur les magasins d’applications et sur divers sites internet. Lorsqu’un utilisateur installe l’une de ces applications infectées, le malware peut collecter des informations sensibles sur l’appareil et exécuter diverses actions telles qu’enregistrer les frappes au clavier, prendre des captures d’écran, envoyer des messages SMS et activer la caméra. Ces actions sont habituellement entreprises dans le but de voler des informations sensibles.

Hydra - Hydra est un cheval de Troie bancaire conçu pour voler les identifiants bancaires qui demande aux victimes d’activer des autorisations et des accès risqués à chaque fois qu’elles consultent une application bancaire.

Les industries les plus attaqués dans le monde

Le mois dernier, le secteur de la recherche et de l’éducation reste en tête des industries les plus attaquées au niveau mondial, suivi par le secteur du gouvernement/militaire et celui des communications.

 Éducation/Recherche
 Services publics/militaire
 Communications

Top des groupes de ransomware

Les données suivantes sont basées sur les observations des « sites de la honte » des ransomwares gérés par des groupes de ransomwares à double extorsion qui ont publié des informations sur les victimes. Le mois dernier, LockBit3 était le groupe de ransomware le plus répandu, à l’origine de 33% des attaques enregistrées, suivi de Inc. Ransom avec 7%, et de Play avec 5% .

 LockBit3 - LockBit3 est un ransomware qui fonctionne dans un modèle RaaS et a été signalé pour la première fois en septembre 2019. LockBit cible les grandes entreprises et les organismes gouvernementaux de divers pays mais ne vise pas les particuliers en Russie ni dans la Communauté des États Indépendants. Bien qu’il ait subi d’importantes interruptions en février 2024 dues à l’action des autorités, LockBit3 a recommencé à publier des informations sur ses victimes.

 Inc. Ransom - Inc. Ransom est une opération d’extorsion par ransomware qui a émergé en juillet 2023 et mène des attaques par phishing et cible des services vulnérables. Les principales cibles du groupe sont des entreprises d’Amérique du Nord et d’Europe dans de nombreux secteurs, dont la santé, l’éducation et le gouvernement. Les charges utiles du ransomware Inc. sont compatibles avec plusieurs arguments de ligne de commande et utilisent un chiffrement partiel avec une approche multithreading.

 Play - Play Ransomware, également appelé PlayCrypt, est un groupe de ransomwares apparu en juin 2022. Ce ransomware a ciblé un large éventail d’entreprises et d’infrastructures critiques en Amérique du Nord, en Amérique du Sud et en Europe, affectant environ 300 entités avant octobre 2023. Le ransomware Play accède généralement aux réseaux via des comptes actifs compromis ou en exploitant des vulnérabilités non corrigées, comme celles des VPN SSL de Fortinet. Une fois à l’intérieur, il a recours à des techniques telles que l’utilisation de binaires hors sol (LOLBins) pour des tâches comme l’exfiltration de données et le vol d’identifiants

Distribué par APO Group pour Check Point Software Technologies Ltd.


Voir les articles précédents

    

Voir les articles suivants