Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Classement Top Malware - avril 2024 : • Recrudescence des attaques par Androxgh0st • Déclin de LockBit3

mai 2024 par Check Point

Les chercheurs de Check Point identifient une recrudescence des attaques par Androxgh0st, un cheval de Troie qui cible les plateformes Windows, Mac et Linux et qui s’est directement hissé à la deuxième place du Top des malwares. De son côté, LockBit3 reste en tête du classement des ransomwares, et ce malgré une réduction de sa prévalence

L’index mondial « Global Threat Index » du mois d’avril 2024 révèle une augmentation significative de l’utilisation des attaques par Androxgh0st. Ce malware se sert de botnets pour voler des informations sensibles. Dans le même temps, LockBit3 reste le groupe de ransomware le plus courant en avril malgré une baisse de 55 % de son taux de détection depuis le début de l’année, avec un impact mondial qui passe de 20 % à 9 %.

Les chercheurs surveillent de près les activités de l’acteur de menace Androxgh0st depuis qu’il est apparu en décembre 2022. Grâce à l’exploitation de vulnérabilités telles que CVE-2021-3129 et CVE-2024-1709, les attaquants déploient des web shells pour prendre le contrôle à distance et se concentrer sur la création de botnets pour le vol d’identifiants. Le FBI et la CISA, ensemble, ont publié un bulletin d’information sur la cybersécurité communément appelé Cybersecurity Advisory (CSA). Cet opérateur de malware a notamment été associé à la propagation du ransomware Adhublika. Les acteurs d’Androxgh0st semblent préférer les vulnérabilités dans les applications Laravel pour faire main basse sur les identifiants de services basés sur le cloud comme AWS, SendGrid et Twilio. Des indications récentes laissent entendre que leur attention se porterait désormais sur la création de botnets pour une exploitation plus large des systèmes.

Par ailleurs, ce classement de Check Point met en lumière les « shame sites » gérés par des groupes de ransomware à double extorsion. Ces sites publient des informations sur les victimes pour faire pression sur leurs cibles qui refusent de payer la rançon. LockBit3 est à nouveau en tête du classement avec 9 % des attaques publiées, suivi de Play (7 %) et de 8Base (6 %). 8Base, qui réintègre le trio de tête, a récemment affirmé avoir infiltré les systèmes informatiques des Nations unies et exfiltré des informations concernant les ressources humaines et les achats. Bien que LockBit3 reste en première position, le groupe a connu quelques déboires. En février dernier, le site de fuite de données a été fermé dans le cadre d’une opération menée conjointement par plusieurs agences gouvernementales, baptisée « Opération Cronos ». Courant mars, les mêmes organismes internationaux de répression ont publié de nouveaux détails et identifié 194 affiliés qui utilisaient LockBit3, en plus de démasquer et de sanctionner le responsable du groupe.

Nos recherches indiquent que les efforts de collaboration internationale pour neutraliser LockBit3 semblent avoir été couronnés de succès, puisqu’ils ont permis de réduire son impact global de plus de 50% depuis le début de l’année 2024. Indépendamment des récents développements encourageants, les entreprises doivent continuer à privilégier leur cybersécurité qui passe par la proactivité et le renforcement de la sécurité des réseaux, des terminaux et des e-mails. Pour renforcer la cyber-résilience, elles doivent absolument mettre en place des défenses multicouches. Cela passe par des procédures de sauvegarde et de récupération robustes, ainsi que des plans de réponse aux incidents.

Le mois dernier, les vulnérabilités les plus exploitées dans le monde étaient « Command Injection Over http» et « Web Servers Malicious URL Directory Traversal », avec un impact sur 52% des entreprises. Elles étaient suivies par « HTTP Headers Remote Code Exécution » avec un impact global de 45%.

Top des familles de logiciels malveillants dans le monde
* Les flèches indiquent le changement de position par rapport au mois précédent.

FakeUpdates était le malware le plus répandu le mois dernier avec un impact de 6% sur les entreprises du monde entier, suivi par Androxgh0st avec un impact global de 4%, et Qbot avec un impact global de 3%.

1. ↔ Fakeupdates – Fakeupdates (AKA SocGholish) est un téléchargeur écrit en JavaScript. Il écrit les charges utiles sur le disque avant de les lancer. Fakeupdates a permis de compromettre de nombreux autres malwares, parmi lesquels GootLoader, Dridex, NetSupport, DoppelPaymer et AZORult.
2. ↑ Androxgh0st - Androxgh0st est un botnet qui cible les plateformes Windows, Mac et Linux. Pour la contamination initiale, Androxgh0st exploite de nombreuses vulnérabilités, et cible en particulier PHPUnit, Laravel Framework et le serveur Web Apache. Le malware vole des informations sensibles telles que les informations du compte Twilio, les identifiants SMTP, la clé AWS, etc. Il récupère les fichiers de Laravel pour collecter des informations sur le serveur Apache. Il présente plusieurs variantes qui recherchent des informations différentes.
3. ↓ Qbot - Qbot AKA Qakbot est un malware polyvalent dont la premiere apparition date de 2008. Il a été conçu pour voler les identifiants des utilisateurs, enregistrer les frappes au clavier, voler les cookies des navigateurs, espionner les activités bancaires et déployer d’autres malwares. Souvent diffuse via des spams, Qbot utilise plusieurs techniques anti-VM, anti-débogage et anti-sandbox pour bloquer l’analyse et échapper à la détection. Apparu en 2022, il s’est imposé comme l’un des chevaux de Troie les plus répandus.
4. ↓ Formbook - Formbook est un Infostealer ciblant le système d’exploitation Windows et a été détecté pour la première fois en 2016. Il est commercialisé en tant que Malware as a Service (MaaS) dans les forums de piratage clandestins pour ses excellentes techniques d’évasion et son prix relativement bas. FormBook récolte les informations d’identification de divers navigateurs Web, collecte les captures d’écran, surveille et enregistre les frappes au clavier, et peut télécharger et exécuter des fichiers selon les ordres de son C&C.

Top des familles de logiciels malveillants en France
1. ↔ Fakeupdates – Fakeupdates (AKA SocGholish) est un téléchargeur écrit en JavaScript. Il écrit les charges utiles sur le disque avant de les lancer. Fakeupdates a permis de compromettre de nombreux autres malwares, parmi lesquels GootLoader, Dridex, NetSupport, DoppelPaymer et AZORult.
2. ↑ Androxgh0st - Androxgh0st est un botnet qui cible les plateformes Windows, Mac et Linux. Pour la contamination initiale, Androxgh0st exploite de nombreuses vulnérabilités, et cible en particulier PHPUnit, Laravel Framework et le serveur Web Apache. Le malware vole des informations sensibles telles que les informations du compte Twilio, les identifiants SMTP, la clé AWS, etc. Il récupère les fichiers de Laravel pour collecter des informations sur le serveur Apache. Il présente plusieurs variantes qui recherchent des informations différentes.
3. ↓ Formbook - Formbook est un Infostealer ciblant le système d’exploitation Windows et a été détecté pour la première fois en 2016. Il est commercialisé en tant que Malware as a Service (MaaS) dans les forums de piratage clandestins pour ses excellentes techniques d’évasion et son prix relativement bas. FormBook récolte les informations d’identification de divers navigateurs Web, collecte les captures d’écran, surveille et enregistre les frappes au clavier, et peut télécharger et exécuter des fichiers selon les ordres de son C&C.
4. ↑ Nanocore - NanoCore est un cheval de Troie d’accès à distance qui cible les utilisateurs du système d’exploitation Windows et a été observé pour la première fois dans la nature en 2013. Toutes les versions du RAT contiennent des plugins de base et des fonctionnalités telles que la capture d’écran, le minage de crypto-monnaies, le contrôle à distance du bureau et le vol de sessions webcam.

Principales vulnérabilités exploitées dans le monde
Le mois dernier, la vulnérabilité « Command Injection Over HTTP » a été la plus exploitée, avec un impact de 52 % des entreprises dans le monde, suivie par « Web Servers Malicious URL Directory Traversal » avec 52 % et « HTTP Headers Remote Code Execution » avec un impact global de 45 %.

1. ↔ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) - Une vulnérabilité d’injection de commande sur HTTP a été signalée. Un attaquant à distance peut exploiter ce problème en envoyant une requête spécialement conçue à la victime. Une exploitation réussie devrait permettre à un attaquant d’exécuter un code arbitraire sur la machine cible.
2. ↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) - Il existe une vulnérabilité de traversée de répertoire sur différents serveurs web. La vulnérabilité est due à une erreur de validation d’entrée dans un serveur web qui ne nettoie pas correctement l’URL pour les motifs de traversée de répertoire. Une exploitation réussie permet à des attaquants distants non authentifiés de divulguer ou d’accéder à des fichiers arbitraires sur le serveur vulnérable.
3. ↑ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-1375) - Les HTTP headers permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter un code arbitraire sur la machine de la victime.
4. ↓ Zyxel ZyWALL Command Injection (CVE-2023-28771) - Une vulnérabilité d’injection de commande existe dans Zyxel ZyWALL. L’exploitation réussie de cette vulnérabilité pourrait permettre un attaquant distant d’exécuter un code arbitraire sur le système affecté.
5. ↑ Dasan GPON Router Authentication Bypass (CVE-2012-5469) - Une vulnérabilité de contournement d’authentification qui existe dans les routeurs GPON de Dasan. L’exploitation réussie de cette vulnérabilité pourrait permettre un attaquant distant d’exécuter un code arbitraire sur le système affecté.
6. ↓ PHP Easter Egg Information Disclosure - Une vulnérabilité de divulgation d’informations a été signalée dans les pages PHP. La vulnérabilité est due à une configuration incorrecte du serveur web. Un attaquant distant peut exploiter cette vulnérabilité en envoyant une URL spécialement conçue vers une page PHP affectée.
7. ↔ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160,CVE-2014-0346) - Une vulnérabilité de divulgation d’informations existe dans OpenSSL. La vulnérabilité, alias Heartbleed, fait suite à une erreur lors de la gestion des paquets heartbeat TLS/DTLS. Un attaquant peut utiliser cette vulnérabilité pour divulguer le contenu de la mémoire d’un client ou d’un serveur connecté.
8. ↑ D-Link DNS Command Injection (CVE-2024-3273) - Une vulnérabilité d’injection de commande existe dans D-Link DNS. L’exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant distant d’exécuter un code arbitraire sur le système affecté.
9. ↑ NETGEAR DGN Command Injection - Une vulnérabilité d’injection de commande existe dans NETGEAR DGN. L’exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant distant d’exécuter un code arbitraire sur le système affecté.
10. ↔ Apache Struts2 Remote Code Execution (CVE-2017-5638) - Une vulnérabilité d’exécution de code à distance existe dans Apache Struts2. L’exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant distant d’exécuter un code arbitraire sur le système affecté.

Top des malwares mobiles dans le monde
Le mois dernier, Anubis est arrivé à la première place du classement des malwares mobiles les plus répandus, suivi d’AhMyth et de Hiddad.

1. ↔ Anubis – Anubis est un cheval de Troie bancaire conçu pour les téléphones mobiles Android. Depuis sa découverte, il a acquis des fonctions supplémentaires, notamment celle de cheval de Troie d’accès à distance (RAT), d’enregistreur de frappe, de capacité d’enregistrement audio et diverses fonctions de ransomware. Il a été détecté sur des centaines d’applications différentes disponibles dans le Google Store.
2. ↔ AhMyth - AhMyth est un cheval de Troie d’accès à distance (RAT) découvert en 2017. Il est distribué via des applications Android que l’on peut trouver sur les magasins d’applications et sur divers sites internet. Quand un utilisateur installe l’une de ces applications compromises, le logiciel malveillant est capable de recueillir des données sensibles à partir de l’appareil et d’effectuer diverses actions telles que la capture de frappes, la collecte de captures d’écran, l’envoi de messages SMS et l’activation de la caméra. Ces actions sont habituellement entreprises dans le but de voler des informations sensibles.
3. ↑ Hiddad - Hiddad est un malware Android qui reconditionne les applications légitimes, puis les libère dans un magasin tiers. Sa fonction principale est d’afficher des publicités, mais il peut également accéder aux principaux détails de sécurité intégrés au système d’exploitation.
Les industries les plus attaqués dans le monde
Le mois dernier, le secteur de la recherche et de l’éducation reste en tête des industries les plus attaquées au niveau mondial, suivi par le secteur du gouvernement/militaire et celui des soins de santé.
1. Éducation/Recherche
2. Services publics/militaire
3. Santé

Les industries les plus attaqués en France
Le mois dernier, le secteur de la recherche et de l’éducation reste en tête des industries les plus attaquées au niveau mondial, suivi par le secteur du gouvernement/militaire et celui des soins de santé.
1. Loisirs/ tourisme - services hôtellerie & restauration
2. Transports
3. Services publics/militaire

Top Ransomware Groups
Le classement des ransomwares de Check Point révèle des informations sur les « shame sites » gérés par des groupes de ransomwares à double extorsion qui ont publié des informations sur les victimes. Le mois dernier, Lockbit3 était le groupe de ransomware le plus répandu, à l’origine de 9% des attaques enregistrées, suivi de Play avec 7%, et de 8Base avec 6% .

1. LockBit3 - LockBit3 est un ransomware qui fonctionne dans un modèle RaaS et a été signalé pour la première fois en septembre 2019. LockBit cible les grandes entreprises et les organismes gouvernementaux de divers pays mais ne vise pas les particuliers en Russie ni dans la Communauté des États Indépendants. Bien qu’il ait subi d’importantes interruptions en février 2024 dues à l’action des autorités, LockBit3 a recommencé à publier des informations sur ses victimes.

2. Play - Play Ransomware, également appelé PlayCrypt, est un groupe de ransomwares apparu en juin 2022. Ce ransomware a ciblé un large éventail d’entreprises et d’infrastructures critiques en Amérique du Nord, en Amérique du Sud et en Europe, affectant environ 300 entités avant octobre 2023. Le ransomware Play accède généralement aux réseaux via des comptes actifs compromis ou en exploitant des vulnérabilités non corrigées, comme celles des VPN SSL de Fortinet. Une fois à l’intérieur, il a recours à des techniques telles que l’utilisation de binaires hors sol (LOLBins) pour des tâches comme l’exfiltration de données et le vol d’identifiants

3. 8Base - Le groupe de menace 8Base est un gang de ransomware actif depuis au moins mars 2022. Il a acquis une notoriété importante au milieu de l’année 2023 à cause d’une augmentation sensible de ses activités. Ce groupe a été observé en train d’utiliser plusieurs variantes de ransomware, dont Phobos est un élément commun. 8Base fonctionne avec un niveau de sophistication, illustré par leur utilisation de techniques avancées dans leurs ransomwares. Parmi les méthodes employées par le groupe figure une double tactique d’extorsion.


Voir les articles précédents

    

Voir les articles suivants