Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un fournisseur leader en solutions de cybersécurité basées sur l’IA dans le cloud, publie son Indice Global des Menaces pour le mois de mars 2024, qui détaille l’utilisation de fichiers de Disque Dur Virtuel (VHD) pour déployer le cheval de Troie à accès à distance (RAT) Remcos. Pendant ce temps, Lockbit3 reste le groupe de rançongiciel le plus prévalent malgré l’intervention policière en février, bien que sa fréquence sur les « sites de honte » de rançongiciel surveillés par Check Point Software a baissé de 20 % à 12 %.

Remcos est un logiciel malveillant qui circule librement depuis 2016. Cette dernière campagne a réussi à contourner les mesures de sécurité et à donner aux cybercriminels un accès non autorisé aux dispositifs des victimes. Malgré ses origines légitimes pour administrer à distance des systèmes Windows, les attaquants ont rapidement commencé à infecter des dispositifs, à prendre des captures d’écran, à enregistrer des frappes au clavier et à transmettre les données recueillies à des serveurs hôtes. De plus, le cheval de Troie à accès à distance RAT dispose d’une fonction d’envoi massif de courriels qui peut déclencher des campagnes de distribution et, en général, ses différentes fonctions peuvent être utilisées pour créer des botnets. Le mois dernier, il est monté à la quatrième place dans la liste des principaux malwares et a réussi à monter de deux places depuis février.

« Dans l’évolution des tactiques d’attaque, l’avancée dans les stratégies des cybercriminels est remarquable », commente Maya Horowitz, VP de Recherche chez Check Point Software. « Cela souligne la nécessité pour les entreprises de privilégier des mesures proactives. En restant vigilants, en déployant une protection des terminaux robuste et en favorisant une culture de la conscience de la cybersécurité, on peut renforcer collectivement les défenses contre les cyberattaques évolutives. »

L’indice des menaces de Check Point Research inclut également des informations sur environ 200 pages web au contenu suspect gérées par des groupes de rançongiciel double extorsion, dont 68 ont publié des informations sur leurs victimes cette année pour les mettre sous pression lorsqu’elles ne voulaient pas payer. Lockbit3 continue d’être le rançongiciel le plus significatif, avec 12 % des incidents détectés, suivi par Play avec 10 % et Blackbasta avec 9 %. Blackbasta, qui fait pour la première fois son entrée dans le top trois, a revendiqué la responsabilité d’une récente cyberattaque contre Scullion Law, un cabinet d’avocats écossais.

CPR a également révélé que « Web Servers Malicious URL Directory Traversal » a été la vulnérabilité la plus exploitée, affectant 50 % des entreprises, suivie de « Injection de commandes via HTTP » avec 48 %, et « Exécution de code distant via des en-têtes HTTP », avec 43 %.

Les trois malwares les plus recherchés en Espagne en mars

*Les flèches indiquent le changement dans le classement par rapport au mois précédent.

Check Point Research souligne que l’Espagne a connu une diminution de 2 % des attaques par malware depuis février. Voici les trois malwares les plus recherchés dans le pays :

1. ↓ FakeUpdates – Un téléchargeur écrit en JavaScript. Il écrit les charges utiles sur le disque avant de les lancer. FakeUpdates a mené à de nombreux autres programmes malveillants, comme GootLoader, Dridex, NetSupport, DoppelPaymer et AZORult. Ce téléchargeur a impacté 9,37 % des entreprises en Espagne.
2. ↑ Remcos – Remcos est un RAT qui est apparu pour la première fois dans la nature en 2016. Remcos se propage à travers des documents Microsoft Office malveillants qui sont attachés à des emails non sollicités et est conçu pour contourner la sécurité du Contrôle de Compte d’Utilisateur (UAC) de Microsoft Windows et exécuter des logiciels malveillants avec des privilèges élevés. Le malware a affecté 6,42 % des entreprises espagnoles.
3. ↓ Qbot – Qbot est un malware multifonction qui est apparu pour la première fois en 2008. Il a été conçu pour voler les identifiants des utilisateurs, enregistrer les frappes au clavier, voler les cookies des navigateurs, espionner les activités bancaires et déployer des logiciels malveillants supplémentaires. Il se propage souvent à travers des emails non sollicités et emploie diverses techniques anti-VM, anti-debugging et anti-sandbox pour entraver l’analyse et éviter la détection. Depuis 2022, il s’est positionné comme l’un des chevaux de Troie prédominants. Le malware a de nouveau affecté 4,08 % des entreprises espagnoles.

Les trois secteurs les plus attaqués en Europe en mars

Le mois dernier, Éducation/Recherche s’est positionné comme le secteur le plus attaqué en Espagne, suivi du Gouvernement/Militaire et de la Santé.

1. Éducation/Recherche
2. Gouvernement/Militaire
3. Santé

Les trois vulnérabilités les plus exploitées en mars

En outre, Check Point Software indique que le mois dernier la vulnérabilité la plus exploitée était « Traversée de répertoires d’URL malveillantes sur les serveurs web » impactant 50 % des entreprises dans le monde, suivie de « Injection de commandes via HTTP » avec 48 % et « Exécution de code à distance via les en-têtes HTTP » avec 43 %.

1. ↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Il existe une vulnérabilité de traversée de répertoires dans différents serveurs web. La vulnérabilité est due à une erreur de validation de l’entrée dans un serveur web qui ne nettoie pas correctement l’URI des motifs de traversée de répertoires. L’exploitation réussie permet aux attaquants à distance non authentifiés de révéler ou d’accéder à des fichiers arbitraires sur le serveur vulnérable.
2. ↔ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – Une vulnérabilité d’injection de commandes via HTTP a été rapportée. Un attaquant à distance peut exploiter ce problème en envoyant une requête spécialement conçue à la victime. L’exploitation réussie permettrait à un attaquant d’exécuter un code arbitraire sur la machine cible.
3. ↑ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375) – Les en-têtes HTTP permettent au client et au serveur de passer des informations supplémentaires avec une requête HTTP. Un attaquant à distance peut utiliser un en-tête HTTP vulnérable pour exécuter du code arbitraire sur la machine victime.

Les trois logiciels malveillants mobiles les plus utilisés en mars

Le mois dernier Anubis est resté en première place en tant que logiciel malveillant mobile le plus utilisé, suivi par AhMyth et Cerberus.

1. Anubis – Logiciel malveillant de cheval de Troie conçu pour les téléphones mobiles Android. Depuis sa détection, il a continué à ajouter des fonctions supplémentaires telles que les capacités de cheval de Troie à accès à distance (RAT), keylogger, enregistrement audio et diverses caractéristiques de rançongiciel. Il a été détecté dans des centaines d’applications différentes disponibles dans le Google Store.
2. AhMyth – Cheval de Troie à accès à distance (RAT) découvert en 2017. Il est distribué à travers des applications Android que l’on peut trouver dans des boutiques d’applications et sur divers sites internet. Lorsqu’un utilisateur installe une de ces applications infectées, le logiciel malveillant peut recueillir des informations confidentielles sur le dispositif et effectuer des actions telles que l’enregistrement de frappes au clavier, des captures d’écran, l’envoi de SMS et l’activation de la caméra, qui sont souvent utilisées pour voler des informations sensibles.
3. Cerberus – Vu pour la première fois dans la nature en juin 2019, Cerberus est un cheval de Troie à accès à distance (RAT) avec des fonctions spécifiques de superposition d’écran pour les dispositifs Android. Cerberus opère sur un modèle de Malware as a Service (MaaS), prenant la place de banquiers abandonnés comme Anubis et Exobot. Ses fonctionnalités comprennent le contrôle des SMS, le keylogging, l’enregistrement audio, le suivi de localisation, et plus encore.

Les trois groupes de rançongiciels les plus importants en mars

Cette section se base sur des informations reçues de plus de 200 « sites de honte » exploités par des groupes de rançongiciel à double extorsion qui ont publié les noms et informations sur leurs victimes. Les données de ces sites ont leurs propres biais, mais néanmoins, elles fournissent des informations précieuses sur l’écosystème des rançongiciels.

Au cours du dernier mois, LockBit3 a été le rançongiciel le plus important, responsable de 12 % des attaques réalisées, suivi de Play avec 10 % et Blackbasta avec 9 %.

1. LockBit3 – LockBit3 est un rançongiciel qui opère selon un modèle de RaaS, signalé pour la première fois en septembre 2019. LockBit cible principalement de grandes entreprises et entités gouvernementales de divers pays et n’attaque pas les individus en Russie ou dans la Communauté des États Indépendants. Malgré d’importantes interruptions en février 2024 en raison de l’action des forces de l’ordre, LockBit3 a repris la publication d’informations sur ses victimes.
2. Play – Play Ransomware, également connu sous le nom de PlayCrypt, est un groupe de rançongiciel qui a émergé pour la première fois en juin 2022. Ce rançongiciel a ciblé un large spectre d’entreprises et d’infrastructures critiques en Amérique du Nord, en Amérique du Sud et en Europe, affectant approximativement 300 entités pour octobre 2023. Play Ransomware gagne généralement l’accès aux réseaux à travers des comptes compromis valides ou en exploitant des vulnérabilités non patchées, comme celles des Fortinet SSL VPNUn VPN, abréviation de Virtual Private Network, ou Réseau Privé Virtuel…. Une fois à l’intérieur, il utilise des techniques telles que l’emploi de binaires « living-off-the-land » (LOLBins) pour des tâches telles que l’exfiltration de données et le vol de crédentials.
3. Blackbasta – Le rançongiciel BlackBasta a été observé pour la première fois en 2022 et opère comme rançongiciel as a service (RaaS). Les acteurs de menaces derrière lui ciblent principalement des organisations et des individus en exploitant des vulnérabilités de RDP et des emails de phishing pour livrer le rançongiciel.