Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Classement Top Malware juin 2024 : RansomHub prend la tête du classement des ransomwares les plus courants dans le sillage du repli de LockBit3

juillet 2024 par Check Point Software

Check Point® Software Technologies Ltd publie son classement mondial des menaces pour le mois de juin 2024. Au mois de juin, les chercheurs ont constaté un changement dans le paysage du ransomware-as-a-Service (RaaS). Le nouvel arrivant RansomHub a détrôné LockBit3 pour prendre la tête du groupe le plus répandu, selon les « shame sites » médiatisés. Pendant ce temps, une faille de sécurité chez Windows a été découverte, connue sous le nom de BadSpace, qui exploite des sites WordPress infectés et de fausses mises à jour de navigateurs.

Depuis l’action des autorités judiciaires à l’encontre de LockBit3 en février, RansomHub est devenu le groupe RaaS le plus répandu. Cela s’explique par le fait qu’à la suite de cette action, de nombreux membres du groupe one lui font plus confiance. Résultat, LockBit3 a enregistré un nombre extrêmement bas de 27 victimes en avril, suivi d’une hausse inattendue en mai, avec plus de 170 victimes, et d’une baisse en juin, avec moins de 20 victimes.

De nombreux membres de LockBit3 utilisent désormais les chiffreurs d’autres groupes RaaS, ce qui explique l’augmentation du nombre de victimes signalées par d’autres acteurs de la menace. RansomHub, dont l’apparition remonte à février 2024 et qui serait une réédition du ransomware Knight, a connu une augmentation substantielle en juin, avec près de 80 nouvelles victimes. On notera que seulement 25 % des victimes recensées se trouvent aux États-Unis et qu’un nombre important d’entre elles viennent du Brésil, d’Italie, d’Espagne et du Royaume-Uni.

Par ailleurs, les chercheurs ont signalé une campagne récente de FakeUpdates (également connue sous le nom de SocGholish), qui s’est classée parmi les malwares les plus répandus, et qui propose désormais une nouvelle porte dérobée intitulée BadSpace. Un réseau d’affiliation tiers a permis la propagation de FakeUpdates en redirigeant le trafic des sites web compromis vers les pages d’accueil de FakeUpdates. Ces pages invitent les utilisateurs à télécharger ce qui ressemble à une mise à jour du navigateur. Or, ce téléchargement contient en réalité un chargeur JScript qui télécharge et exécute ensuite la porte dérobée BadSpace. BadSpace emploie des techniques avancées d’obscurcissement et d’anti-sandbox pour échapper à la détection, tout en assurant sa persistance grâce à des tâches programmées. Ses communications de commande et de contrôle sont chiffrées, et donc difficiles à intercepter.
« Apparemment, les mesures prises pour lutter contre LockBit3 ont porté leurs fruits. Pourtant, comme cela a été suggéré précédemment, son repli ne peut que laisser la place à d’autres groupes qui prendront le contrôle et continueront leurs campagnes de ransomware contre les entreprises du monde entier », a déclaré Maya Horowitz, vice-présidente de la recherche chez Check Point Software

Top des familles de logiciels malveillants dans le monde
* Les flèches indiquent le changement de position par rapport au mois précédent.

FakeUpdates était le malware le plus répandu le mois dernier avec un impact de 7% sur les entreprises du monde entier, suivi par Androxgh0st avec un impact global de 6%, et AgentTesla avec un impact global de 3%.
1. ↔ Fakeupdates – Fakeupdates (AKA SocGholish) est un téléchargeur écrit en JavaScript. Il écrit les charges utiles sur le disque avant de les lancer. Fakeupdates a permis de compromettre de nombreux autres malwares, parmi lesquels GootLoader, Dridex, NetSupport, DoppelPaymer et AZORult.

2. ↔ Androxgh0st - Androxgh0st est un botnet qui cible les plateformes Windows, Mac et Linux. Pour la contamination initiale, Androxgh0st exploite de nombreuses vulnérabilités, et cible en particulier PHPUnit, Laravel Framework et le serveur Web Apache. Le malware vole des informations sensibles telles que les informations du compte Twilio, les identifiants SMTP, la clé AWS, etc. Il récupère les fichiers de Laravel pour collecter des informations sur le serveur Apache. Il présente plusieurs variantes qui recherchent des informations différentes.

3. ↑ Agent Tesla – Agent Tesla est un RAT avancé fonctionnant comme un enregistreur de frappe et un voleur d’informations, capable de surveiller et de collecter les saisies du clavier de la victime, le clavier du système, de faire des captures d’écran et d’exfiltrer les informations d’identification de divers logiciels installés sur la machine de la victime (comme Google Chrome, Mozilla Firefox et le client e-mail Microsoft Outlook).

Top des familles de logiciels malveillants en France
1. ↑ Fakeupdates – Fakeupdates (AKA SocGholish) est un téléchargeur écrit en JavaScript. Il écrit les charges utiles sur le disque avant de les lancer. Fakeupdates a permis de compromettre de nombreux autres malwares, parmi lesquels GootLoader, Dridex, NetSupport, DoppelPaymer et AZORult.

2. ↓ Androxgh0st - Androxgh0st est un botnet qui cible les plateformes Windows, Mac et Linux. Pour la contamination initiale, Androxgh0st exploite de nombreuses vulnérabilités, et cible en particulier PHPUnit, Laravel Framework et le serveur Web Apache. Le malware vole des informations sensibles telles que les informations du compte Twilio, les identifiants SMTP, la clé AWS, etc. Il récupère les fichiers de Laravel pour collecter des informations sur le serveur Apache. Il présente plusieurs variantes qui recherchent des informations différentes.

3. ↑ Formbook est un Infostealer ciblant le système d’exploitation Windows et a été détecté pour la première fois en 2016. Il est commercialisé en tant que Malware as a Service (MaaS) dans les forums de piratage clandestins pour ses excellentes techniques d’évasion et son prix relativement bas. FormBook récolte les informations d’identification de divers navigateurs Web, collecte les captures d’écran, surveille et enregistre les frappes au clavier, et peut télécharger et exécuter des fichiers selon les ordres de son C&C.

Top des vulnérabilités exploitées
Le mois dernier, la vulnérabilité « Check Point VPN Information Disclosure » a été la plus exploitée, avec un impact de 51 % des entreprises au niveau mondial, suivie par « Web Servers Malicious URL Directory Traversal » avec 49 % et « HTTP Headers Remote Code Execution » avec un impact mondial de 44 %.

1. ↑ Check Point VPN Information Disclosure (CVE-2024-24919) - Une vulnérabilité de divulgation d’informations a été découverte dans Check Point VPN. Cette vulnérabilité permet potentiellement à un attaquant de lire certaines informations sur des passerelles connectées à Internet, lorsque l’accès à distance VPN ou l’accès mobile est activé.

2. ↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) - Il existe une vulnérabilité de traversée de répertoire sur différents serveurs web. La vulnérabilité est due à une erreur de validation d’entrée dans un serveur web qui ne nettoie pas correctement l’URL pour les motifs de traversée de répertoire. Une exploitation réussie permet à des attaquants distants non authentifiés de divulguer ou d’accéder à des fichiers arbitraires sur le serveur vulnérable.

3. ↑ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375) - Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter un code arbitraire sur la machine de la victime.

Top des malwares mobiles
Le mois dernier, Joker est arrivé en tête du classement des malwares mobiles les plus répandus, suivi d’Anubis et de AhMyth.

1. ↑ Joker - Un logiciel espion Android dans Google Play, conçu pour voler des messages SMS, des listes de contacts et des informations sur les appareils. Le malware inscrit aussi discrètement la victime à des services premium sur des sites internet publicitaires.

2. ↓ Anubis – Anubis est un cheval de Troie bancaire conçu pour les téléphones mobiles Android. Depuis sa découverte, il a acquis des fonctions supplémentaires, notamment celle de cheval de Troie d’accès à distance (RAT), d’enregistreur de frappe, de capacité d’enregistrement audio et diverses fonctions de ransomware. Il a été détecté sur des centaines d’applications différentes disponibles dans le Google Store.

3. ↓ AhMyth - AhMyth est un cheval de Troie d’accès à distance (RAT) découvert en 2017. Il est distribué via des applications Android que l’on peut trouver sur les magasins d’applications et sur divers sites internet. Quand un utilisateur installe l’une de ces applications compromises, le logiciel malveillant est capable de recueillir des données sensibles à partir de l’appareil et d’effectuer diverses actions telles que la capture de frappes, la collecte de captures d’écran, l’envoi de messages SMS et l’activation de la caméra. Ces actions sont habituellement entreprises dans le but de voler des informations sensibles.

Top des industries les plus attaqués dans le monde
Le mois dernier, le secteur de la recherche et de l’éducation reste en tête des industries les plus attaquées au niveau mondial, suivi par le secteur du gouvernement/militaire et celui de la santé.
1. Éducation/Recherche
2. Services publics/militaire
3. Santé
Top des industries les plus attaqués en France
1. Loisirs/tourisme
2. Services publics/militaire
3. Éducation/Recherche

Top des groupes de ransomware
Les données proviennent des observations des « sites de la honte » gérés par des groupes de ransomwares à double extorsion, qui publient des informations sur leurs victimes. Le mois dernier, RansomHub était le groupe de ransomware le plus répandu, à l’origine de 21% des attaques enregistrées, suivi de Play avec 8%, et de Akira avec 5% .

1. RansomHub - RansomHub est une opération de Ransomware-as-a-Service (RaaS) qui a émergé sous la forme d’une version relookée du ransomware initialement connu sous le nom de Knight. Apparu au début de l’année 2024 sur des forums clandestins de cybercriminalité, RansomHub s’est rapidement fait connaître grâce à ses campagnes agressives contre divers systèmes, notamment Windows, macOS, Linux et, plus particulièrement, les environnements VMware ESXi. Ce malware est réputé pour recourir à des méthodes de chiffrement sophistiquées.

2. Play - Play Ransomware, également appelé PlayCrypt, est un groupe de ransomwares apparu en juin 2022. Ce ransomware a ciblé un large éventail d’entreprises et d’infrastructures critiques en Amérique du Nord, en Amérique du Sud et en Europe, affectant environ 300 entités avant octobre 2023. Le ransomware Play accède généralement aux réseaux via des comptes actifs compromis ou en exploitant des vulnérabilités non corrigées, comme celles des VPN SSL de Fortinet. Une fois à l’intérieur, il a recours à des techniques telles que l’utilisation de binaires hors sol (LOLBins) pour des tâches comme l’exfiltration de données et le vol d’identifiants

3. Akira - Akira Ransomware, dont le premier signalement remonte à début 2023, cible les systèmes Windows et Linux. Il utilise le chiffrement symétrique avec CryptGenRandom() et Chacha 2008 pour chiffrer des fichiers et partagedes similitudes avec le ransomware Conti v2 qui a fait l’objet d’une fuite. Akira se propage par divers moyens, et notamment via des pièces jointes d’e-mails infectés et des exploits dans les points de terminaison VPN. Lors de l’infection, il chiffre les données et ajoute une extension ". akira" aux noms de fichiers, puis affiche une demande de rançon qui exige le paiment d’une somme d’argent pour déchiffrer les fichiers.


Voir les articles précédents

    

Voir les articles suivants