Classement Top Malware - août 2024 : RansomHub domine tandis que le ransomware Meow gagne rapidement du terrain En France, Qbot réapparaît au top 3
septembre 2024 par Check Point®
Check Point® Software Technologies Ltd. publie son classement mondial des menaces ’Global Threat Index’ pour le mois d’août 2024. Le classement a révélé que les ransomwares continuent d’être une menace majeure et que RansomHub se maintient en tête de la liste. Cette opération de ransomware-as-a-Service (RaaS) a connu une croissance rapide depuis le rebranding du ransomware Knight, avec plus de 210 victimes dans le monde. Dans le même temps, le ransomware Meow s’est distingué en optant pour la vente des données dérobées sur le marché noir, délaissant ainsi la méthode traditionnelle de chiffrement.
Le mois dernier, RansomHub a consolidé sa position de principale menace de ransomware, tel que précisé dans un avis conjointement publié par le FBI, le CISA, le MS-ISAC et le HHS. Cette campagne agressive RaaS a ciblé les systèmes sur Windows, macOS, Linux, et plus particulièrement les environnements VMware ESXi, via des techniques de chiffrement sophistiquées.
En août, Meow a également connu une avancée significative en atteignant pour la première fois la deuxième place parmi les ransomwares les plus actifs. Issu d’une variante du ransomware Conti qui avait fait l’objet d’une fuite, Meow est passé du chiffrement à l’extraction de données, et a transformé son site d’extorsion en une place de marché de fuite de données. Les données volées sont vendues au plus offrant, contrairement aux tactiques d’extorsion classiques des ransomwares.
« La prédominance de RansomHub en tant que principale menace de ransomware en août met en lumière la sophistication croissante des opérations de Ransomware-as-a-Service », selon Maya Horowitz, vice-présidente de la recherche chez Check Point Software. « Les entreprises doivent rester particulièrement vigilantes. Il convient également de souligner que la montée en puissance du ransomware Meow souligne l’évolution vers les marchés de fuites de données, introduisant une nouvelle méthode de monétisation pour les opérateurs. Désormais, les données volées sont de plus en plus vendues à des tiers, plutôt que simplement publiées en ligne. Face à l’évolution de ces menaces, les entreprises doivent être en alerte, mettre en place des mesures de sécurité proactives et renforcer en permanence leurs défenses contre des attaques qui sont de plus en plus sophistiquées. »
Top des familles de logiciels malveillants
* Les flèches indiquent le changement de position par rapport au mois précédent
FakeUpdates était le malware le plus répandu le mois dernier avec un impact de 8 % sur les entreprises du monde entier, suivi par Androxgh0st avec un impact global de 5 % et Phorpiex avec un impact global de 5 %.
↔ Fakeupdates – Fakeupdates (AKA SocGholish) est un téléchargeur écrit en JavaScript. Il écrit les charges utiles sur le disque avant de les lancer. Fakeupdates a permis de compromettre de nombreux autres malwares, parmi lesquels GootLoader, Dridex, NetSupport, DoppelPaymer et AZORult.
↔ Androxgh0st - Androxgh0st est un botnet qui cible les plateformes Windows, Mac et Linux. Pour la contamination initiale, Androxgh0st exploite de nombreuses vulnérabilités, et cible en particulier PHPUnit, Laravel Framework et le serveur Web Apache. Le malware vole des informations sensibles telles que les informations du compte Twilio, les identifiants SMTP, la clé AWS, etc. Il récupère les fichiers de Laravel pour collecter des informations sur le serveur Apache. Il présente plusieurs variantes qui recherchent des informations différentes.
↑ Phorpiex - Phorpiex est un botnet connu pour distribuer d’autres familles de malware via des campagnes de spam et pour alimenter des campagnes de sextorsion à grande échelle.
Top 3 des familles de logiciels malveillants en France
↔ Fakeupdates – Fakeupdates (AKA SocGholish) est un téléchargeur écrit en JavaScript. Il écrit les charges utiles sur le disque avant de les lancer. Fakeupdates a permis de compromettre de nombreux autres malwares, parmi lesquels GootLoader, Dridex, NetSupport, DoppelPaymer et AZORult.
↔ Androxgh0st - Androxgh0st est un botnet qui cible les plateformes Windows, Mac et Linux. Pour la contamination initiale, Androxgh0st exploite de nombreuses vulnérabilités, et cible en particulier PHPUnit, Laravel Framework et le serveur Web Apache. Le malware vole des informations sensibles telles que les informations du compte Twilio, les identifiants SMTP, la clé AWS, etc. Il récupère les fichiers de Laravel pour collecter des informations sur le serveur Apache. Il présente plusieurs variantes qui recherchent des informations différentes.
↑ Qbot - Qbot, également connu sous le nom de Qakbot, est un logiciel malveillant sophistiqué et multifonctionnel apparu en 2007 sous la forme d’un cheval de Troie bancaire. Au fil des ans, il a évolué pour faciliter toute une série d’activités cybercriminelles, notamment le vol d’informations d’identification, la diffusion de ransomwares et l’accès par des portes dérobées à des systèmes compromis. L’un des principaux groupes à l’origine de cette menace polyvalente est TA577, un groupe cybercriminel notoire qui a habilement diffusé Qbot par le biais de diverses campagnes d’hameçonnage sophistiquées. Après une importante tentative de démantèlement par les forces de l’ordre en août 2023, Qbot a fait preuve d’une résilience et d’une adaptabilité remarquables. Depuis décembre 2023, on assiste à sa résurgence notable, les acteurs de la menace expérimentant de nouvelles versions. Les principales méthodes de distribution de Qbot sont les campagnes d’hameçonnage ciblant des secteurs spécifiques, l’exploitation de vulnérabilités et l’adaptation à divers vecteurs d’infection, y compris la publicité malveillante.
Top des vulnérabilités les plus exploitées
↔ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) - Une vulnérabilité d’injection de commande sur HTTP a été signalée. Un attaquant à distance peut exploiter ce problème en envoyant une requête spécialement conçue à la victime. Une exploitation réussie devrait permettre à un attaquant d’exécuter un code arbitraire sur la machine cible.
↔ Zyxel ZyWALL Command Injection (CVE-2023-28771) - Une vulnérabilité d’injection de commande existe dans Zyxel ZyWALL. L’exploitation réussie de cette vulnérabilité pourrait permettre un attaquant distant d’exécuter un code arbitraire sur le système affecté.
↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-1375) - Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter un code arbitraire sur la machine de la victime.
Top des malwares mobiles
Joker est arrivé à la première place du classement des malwares mobiles les plus répandus, suivi d’Anubis et de Hydra.
↔ Joker - Un logiciel espion Android dans Google Play, conçu pour voler des messages SMS, des listes de contacts et des informations sur les appareils. Le malware inscrit aussi discrètement la victime à des services premium sur des sites internet publicitaires.
↔ Anubis – Anubis est un cheval de Troie bancaire conçu pour les téléphones mobiles Android. Depuis sa découverte, il a acquis des fonctions supplémentaires, notamment celle de cheval de Troie d’accès à distance (RAT), d’enregistreur de frappe, de capacité d’enregistrement audio et diverses fonctions de ransomware. Il a été détecté sur des centaines d’applications différentes disponibles dans le Google Store.
↑ Hydra - Hydra est un cheval de Troie bancaire conçu pour voler les identifiants bancaires qui demande aux victimes d’activer des autorisations et des accès risqués à chaque fois qu’elles consultent une application bancaire.
Top des industries les plus attaqués dans le monde
Le mois dernier, le secteur de la recherche et de l’éducation reste en tête des industries les plus attaquées au niveau mondial, suivi par le secteur du gouvernement/militaire et celui des soins de santé.
Éducation/Recherche
Services publics/militaire
Santé
en France
Loisirs-Tourisme/Hotellerie-restauration
Medias
Services gouvernementaux/militaire
Top des groupes de ransomware
Ces informations proviennent des observations effectuées sur les « sites de la honte » gérés par des groupes de ransomwares à double extorsion, où ils divulguent des données sur leurs victimes. RansomHub était le groupe de ransomware le plus répandu ce mois-ci, à l’origine de 15 % des attaques enregistrées, suivi de Meow avec 9 %, et de Lockbit3 avec 8 % .
RansomHub - RansomHub est une opération de Ransomware-as-a-Service (RaaS) qui a émergé sous la forme d’une version relookée du ransomware initialement connu sous le nom de Knight. Apparu au début de l’année 2024 sur des forums clandestins de cybercriminalité, RansomHub a rapidement gagné en notoriété avec ses campagnes agressives à l’encontre de divers systèmes, dont Windows, macOS, Linux et plus particulièrement les environnements VMware ESXi, en recourant à des méthodes de chiffrement sophistiquées.
Meow - le ransomware Meow est une variante dérivée du ransomware Conti, réputé pour chiffrer un nombre important de fichiers sur les systèmes compromis et y apposer l’extension « .MEOW ». Il laisse une note de rançon intitulée « readme.txt », demandant aux victimes de contacter les attaquants par e-mail ou Telegram pour négocier le paiement de la rançon. Le ransomware Meow se propage via différents vecteurs, parmi lesquels des configurations RDP non protégées, des e-mails malveillants et des téléchargements malveillants, et utilise l’algorithme de chiffrement ChaCha20 pour chiffrer les fichiers, hormis les fichiers « .exe » et les fichiers texte.
LockBit3 - LockBit3 est un ransomware qui fonctionne dans un modèle RaaS et a été signalé pour la première fois en septembre 2019. LockBit cible les grandes entreprises et les organismes gouvernementaux de divers pays mais ne vise pas les particuliers en Russie ni dans la Communauté des États Indépendants.