Le mois de février a été le théâtre d’une forte augmentation des mécanismes d’exploitation visant une vulnérabilité en vue de propager le botnet Mirai, bien connu pour infecter des dispositifs IoT et procéder à des attaques DDoS massives. La vulnérabilité, connue sous le nom d’exploit “PHP php-cgi Query String Parameter Code Execution”, s’est classée en sixième position parmi les principales vulnérabilités exploitées et a concerné 20% des entreprises à travers le monde, contre à peine 2% en janvier 2020.

L’équipe de chercheurs met également les entreprises en garde contre le fait qu’Emotet, le deuxième maliciel le plus en vogue en février et le botnet le plus répandu à l’heure actuelle, a continué de se propager en recourant, en février, à deux nouveaux vecteurs. Le premier est une campagne d’hameçonnage par SMS (ou “smishing”) qui vise des utilisateurs américains: le SMS usurpe l’apparence de messages venant de banques bien connues, piégeant les victimes en les amenant à cliquer sur un lien malveillant qui télécharge Emotet sur leur appareil. Le deuxième vecteur consiste pour Emotet à détecter et tirer parti de réseaux Wi-Fi de proximité afin de propager des attaques par force brute en ayant recours à une série de mots de passe Wi-Fi utilisés fréquemment. Emotet est essentiellement utilisé comme vecteur de distribution de rançongiciels ou d’autres campagnes malveillantes.

En février, Emotet a touché 7% des entreprises dans le monde, en recul par rapport aux 13% enregistrés en janvier lorsqu’il s’était principalement propagé par le biais d’une campagne de pourriels sur le thème du coronavirus. Cette évolution illustre la rapidité avec laquelle les cyber-criminels modifient le thème de leurs attaques afin de tester de nouveaux schémas et de maximiser les taux d’infection.

« Comme nous l’avions déjà remarqué en janvier, les menaces et mécanismes d’exploitation qui ont eu le plus d’impact en février ont été des maliciels polyvalents tels que XMRig et Emotet. Les criminels semblent vouloir déployer les réseaux de dispositifs infectés les plus étendus possible en vue de les exploiter et monétiser ensuite selon une grande variété de scénarios, depuis la diffusion de rançongiciels jusqu’au lancement d’attaques DDoS », déclare Maya Horowitz, directrice Threat Intelligence & Research, Products chez Check Point. « Etant donné que les principaux vecteurs d’infection prennent la forme de courriels et de messages SMS, les entreprises devraient veiller à former leurs employés afin qu’ils puissent identifier différents types de pourriels malveillants et déployer par ailleurs des mesures de sécurité qui empêchent activement ces menaces d’infecter leurs réseaux. »

Les principales familles de maliciels

*Les flèches font référence à l’évolution du classement par comparaison au mois précédent.

En février, XMRig s’est hissé à la première place, touchant 7% des entreprises à travers le monde, suivi par Emotet et Jsecoin qui ont respectivement touché 6% et 5% des entreprises à l’échelle mondiale.

1. ↑ XMRig – XMRig est un logiciel open source de minage de CPU utilisé pour le processus de minage de la crypto-monnaie Monero ; il a été repéré pour la première fois en mai 2017.
2. ↓ Emotet – Emotet est un cheval de Troie sophistiqué, modulaire et capable de s’auto-propager. A l’origine, Emotet opérait comme cheval de Troie bancaire mais il a récemment été utilisé comme un vecteur de distribution d’autres maliciels ou de campagnes malveillantes. Il recourt à de multiples méthodes pour préserver sa persistance et à des techniques de dissimulation afin d’éviter d’être détecté. Il peut en outre être propagé par le biais de pourriels de type hameçonnage contenant des pièces jointes ou des liens malveillants.
3. ↑Jsecoin – Jsecoin est un crypto-mineur Web conçu pour effectuer du minage en-ligne de crypto-monnaie Monero lorsqu’un utilisateur visite une page Internet spécifique. Le code JavaScript implanté utilise une partie importante des capacités de calcul des équipements de l’utilisateur final pour miner des monnaies, grevant ainsi les performances système.

Les principales vulnérabilités exploitées
En février, la “MVPower DVR Remote Code Execution” a confirmé son statut de vulnérabilité la plus communément exploitée, touchant 31% des entreprises dans le monde, suivie de près par la “OpenSSL TLS DTLS Heartbeat Information Disclosure” qui a affiché un score de 28%. En troisième position, la vulnérabilité “PHP DIESCAN information disclosure” a touché 27% des entreprises à l’échelle mondiale.

1. ↔ MVPower DVR Remote Code Execution – Une vulnérabilité d’exécution de code à distance existant au sein de dispositifs DVR MVPower. Un pirate, opérant à distance, peut exploiter cette faille afin d’exécuter du code arbitraire dans le routeur infecté par le biais d’une requête spécifique.
2. ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Une vulnérabilité de type divulgation d’information existant au sein d’OpenSSL. La vulnérabilité est due à une erreur dans le traitement de paquets de pulsation TLS/DTLS. Un pirate peut tirer parti de cette vulnérabilité afin de divulguer le contenu de la mémoire d’un serveur ou d’un client connecté.
3. ↔ PHP DIESCAN Information Disclosure – Une vulnérabilité de divulgation d’informations repérée dans les pages PHP. En cas d’exploitation réussie, elle pourrait mener à la divulgation d’informations sensibles à partir du serveur.

Les principales familles de maliciels – Mobiles

En février, xHelper a conservé sa première place parmi les maliciels mobiles les plus répandus, suivi par Hiddad et Guerrilla.

1. ↔  xHelper – Application malveillante observée sur la Toile depuis mars 2019 et utilisée pour le téléchargement d’autres applis malveillantes et l’affichage de publicités. L’application est capable de se dissimuler aux yeux de l’utilisateur et de se réinstaller si on le désinstalle.
2. ↑  Hiddad – Hiddad est un maliciel Android qui reconditionne des applis légitimes et les publie ensuite sur une e-boutique tierce. Sa principale fonction est l’affichage de publicités mais il est également capable de se ménager un accès à des détails de sécurité importants, intégrés au système d’exploitation.
3. ↓  Guerrilla – Guerrilla est un cheval de Troie Android que l’on retrouve dans une multitude d’applis légitimes et qui est capable de télécharger des contenus malveillants additionnels. Guerrilla génère des revenus publicitaires frauduleux pour les développeurs d’applis.

L’Indice international d’Impact des Menaces de Check Point et sa carte ThreatCloud sont alimentés par les analyses ThreatCloud de Check Point, le plus important réseau collaboratif dédié à la lutte contre la cyber-criminalité qui procure des données sur les menaces et les tendances de piratage repérées par un réseau international de capteurs de menaces. La base de données ThreatCloud inspecte plus de 2,5 milliards de sites Internet et 500 millions de fichiers par jour et identifie quotidiennement plus de 250 millions d’activités malicielles.

[button color=”black” link=”https://blog.checkpoint.com/2020/03/11/february-2020s-most-wanted-malware-increase-in-exploits-spreading-the-mirai-botnet-to-iot-devices/”]La liste complète des 10 principales familles de maliciels pour le mois de février est disponible sur le blog de Check Point[/button]

[button color=”black” link=”https://www.checkpoint.com/products-solutions/threat-prevention-appliances-and-software/”]Les ressources Prévention des menaces de Check Point sont disponibles ici [/button]

[toggle title =”Check Point Software Technologies”]Check Point Software Technologies Ltd. (www.checkpoint.com), le leader mondial dédié à la sécurité, propose des solutions de pointe qui protègent les entreprises des cyberattaques, avec un taux de blocage des logiciels malveillants et autres types d’attaques inégalé. Check Point propose une architecture de sécurité complète qui défend les réseaux des entreprises et les appareils mobiles, et qui permet une administration de la sécurité la plus aboutie et la plus intuitive. Check Point protège plus de 100 000 entreprises de toute taille. Nous protégeons l’avenir.[/toggle]