Classement Top Malware - Juillet 2024 : Remcos et RansomHub se déchaînent
août 2024 par Check Point®
Check Point® Software Technologies Ltd. a publié son indice mondial des menaces pour le mois de juillet 2024. Malgré une baisse significative en juin, LockBit réapparait en 2ème position des groupes de ransomware les plus répandus, tandis que RansomHub conserve la première place. Dans le même temps, les chercheurs ont identifié une campagne de distribution du malware Remcos à la suite d’un problème de mise à jour de CrowdStrike, ainsi qu’une série de nouvelles tactiques FakeUpdates, qui se sont à nouveau classées en tête de la liste des malwares les plus répandus pour le mois de juillet.
Un problème dans le capteur CrowdStrike Falcon pour Windows a conduit les cybercriminels à distribuer un fichier ZIP malveillant nommé crowdstrike-hotfix.zip. Ce fichier contenait HijackLoader, qui activait ensuite le logiciel malveillant Remcos, classé au septième rang des logiciels malveillants les plus recherchés en juillet. La campagne a ciblé les entreprises en utilisant des instructions en espagnol et a impliqué la création de faux domaines pour les attaques de phishing.
Dans le même temps, les chercheurs ont découvert une série de nouvelles tactiques employant FakeUpdates, qui est resté en tête du classement des logiciels malveillants pendant un mois supplémentaire. Les utilisateurs qui visitent des sites web compromis reçoivent de fausses invites de mise à jour de leur navigateur, ce qui entraîne l’installation de chevaux de Troie d’accès à distance (RAT) comme AsyncRAT, qui occupe actuellement la neuvième place dans l’index de Check Point. Fait alarmant, les cybercriminels ont commencé à exploiter BOINC, une plateforme destinée à l’informatique bénévole, pour prendre le contrôle à distance des systèmes infectés.
« La persistance et la résurgence de groupes de ransomware tels que Lockbit et RansomHub soulignent que les cybercriminels continuent de se concentrer sur les ransomwares, un défi permanent important pour les organisations, avec des implications profondes pour leur continuité opérationnelle et la sécurité de leurs données. L’exploitation récente d’une mise à jour de logiciel de sécurité pour distribuer le logiciel malveillant Remcos met encore plus en évidence la nature opportuniste des cybercriminels pour déployer des logiciels malveillants, compromettant ainsi davantage les défenses des organisations. Pour contrer ces menaces, les entreprises devront adopter une stratégie de sécurité multicouche comprenant une protection robuste des terminaux, une surveillance vigilante et une formation des utilisateurs afin de réduire l’assaut de ces cyberattaques de plus en plus massives », a déclaré Maya Horowitz, vice-présidente de la recherche chez Check Point Software.
Top 3 des familles de logiciels malveillants dans le monde
* Les flèches indiquent le changement de position par rapport au mois précédent.
FakeUpdates était le malware le plus répandu le mois dernier avec un impact de 7% sur les entreprises du monde entier, suivi par Androxgh0st avec un impact global de 5% , et AgentTesla avec un impact global de 3%.
↔ Fakeupdates – Fakeupdates (AKA SocGholish) est un téléchargeur écrit en JavaScript. Il écrit les charges utiles sur le disque avant de les lancer. Fakeupdates a permis de compromettre de nombreux autres malwares, parmi lesquels GootLoader, Dridex, NetSupport, DoppelPaymer et AZORult.
↔ Androxgh0st – Androxgh0st est un botnet qui cible les plateformes Windows, Mac et Linux. Pour la contamination initiale, Androxgh0st exploite de nombreuses vulnérabilités, et cible en particulier PHPUnit, Laravel Framework et le serveur Web Apache. Le malware vole des informations sensibles telles que les informations du compte Twilio, les identifiants SMTP, la clé AWS, etc. Il récupère les fichiers de Laravel pour collecter des informations sur le serveur Apache. Il présente plusieurs variantes qui recherchent des informations différentes.
↔ Agent Tesla – Agent Tesla est un RAT avancé fonctionnant comme un enregistreur de frappe et un voleur d’informations, capable de surveiller et de collecter les saisies du clavier de la victime, le clavier du système, de faire des captures d’écran et d’exfiltrer les informations d’identification de divers logiciels installés sur la machine de la victime (comme Google Chrome, Mozilla Firefox et le client e-mail Microsoft Outlook).
Top 3 des familles de logiciels malveillants en France
Fakeupdates – Fakeupdates (AKA SocGholish) est un téléchargeur écrit en JavaScript. Il écrit les charges utiles sur le disque avant de les lancer. Fakeupdates a permis de compromettre de nombreux autres malwares, parmi lesquels GootLoader, Dridex, NetSupport, DoppelPaymer et AZORult.
Androxgh0st – Androxgh0st est un botnet qui cible les plateformes Windows, Mac et Linux. Pour la contamination initiale, Androxgh0st exploite de nombreuses vulnérabilités, et cible en particulier PHPUnit, Laravel Framework et le serveur Web Apache. Le malware vole des informations sensibles telles que les informations du compte Twilio, les identifiants SMTP, la clé AWS, etc. Il récupère les fichiers de Laravel pour collecter des informations sur le serveur Apache. Il présente plusieurs variantes qui recherchent des informations différentes.
Formbook – Formbook est un Infostealer ciblant le système d’exploitation Windows et a été détecté pour la première fois en 2016. Il est commercialisé en tant que Malware as a Service (MaaS) dans les forums de piratage clandestins pour ses techniques d’évasion puissantes et son prix relativement bas. FormBook récolte des informations d’identification à partir de divers navigateurs web, collecte des captures d’écran, surveille et enregistre les frappes au clavier, et peut télécharger et exécuter des fichiers selon les ordres de son C&C.
Top 3 des vulnérabilités exploitées
↑ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) - Une vulnérabilité de type Injection de commande par HTTP a été signalée. Un attaquant distant peut exploiter ce problème en envoyant une requête spécialement conçue à la victime. Une exploitation réussie permettrait à un attaquant d’exécuter du code arbitraire sur la machine cible.
↑ Zyxel ZyWALL Command Injection (CVE-2023-28771) - Une vulnérabilité de type injection de commande existe dans Zyxel ZyWALL. L’exploitation réussie de cette vulnérabilité permettrait à des attaquants distants d’exécuter des commandes arbitraires du système d’exploitation dans le système concerné.
↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375) - Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires lors d’une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter du code arbitraire sur la machine victime.
Top des malwares mobiles
Cette fois encore, le mois dernier, Joker est arrivé en tête du classement des malwares mobiles les plus répandus, suivi d’Anubis et de AhMyth.
↔ Joker – Un logiciel espion Android dans Google Play, conçu pour voler des messages SMS, des listes de contacts et des informations sur les appareils. Le malware inscrit aussi discrètement la victime à des services premium sur des sites internet publicitaires.
↔ Anubis – Anubis est un cheval de Troie bancaire conçu pour les téléphones mobiles Android. Depuis sa découverte, il a acquis des fonctions supplémentaires, notamment celle de cheval de Troie d’accès à distance (RAT), d’enregistreur de frappe, de capacité d’enregistrement audio et diverses fonctions de ransomware. Il a été détecté sur des centaines d’applications différentes disponibles dans le Google Store.
↔ AhMyth – AhMyth est un cheval de Troie d’accès à distance (RAT) découvert en 2017. Il est distribué via des applications Android que l’on peut trouver sur les magasins d’applications et sur divers sites internet. Quand un utilisateur installe l’une de ces applications compromises, le logiciel malveillant est capable de recueillir des données sensibles à partir de l’appareil et d’effectuer diverses actions telles que la capture de frappes, la collecte de captures d’écran, l’envoi de messages SMS et l’activation de la caméra. Ces actions sont habituellement entreprises dans le but de voler des informations sensibles.
Top des industries les plus attaquées dans le monde
Le mois dernier, le secteur de la recherche et de l’éducation est resté en tête des industries les plus attaquées au niveau mondial, suivi par le secteur des services publics et gouvernementaux/militaire et cette fois celui des Communications.
Éducation/Recherche
Services publics/militaire
Communications
En France
Loisirs-Tourisme/Hotellerie-restauration
Services gouvernementaux/militaire
Education/Recherche
Top des groupes de ransomware
Les données proviennent des observations des « sites de la honte » gérés par des groupes de ransomwares à double extorsion, qui publient des informations sur leurs victimes. Le mois dernier, RansomHub était le groupe de ransomware le plus répandu, à l’origine de 11 % des attaques enregistrées, suivi de Lockbit3 avec 8 %, et de Akira avec 6 %.
RansomHub – RansomHub est une opération de Ransomware-as-a-Service (RaaS) qui a émergé sous la forme d’une version relookée du ransomware initialement connu sous le nom de Knight. Apparu au début de l’année 2024 sur des forums clandestins de cybercriminalité, RansomHub s’est rapidement fait connaître grâce à ses campagnes agressives contre divers systèmes, notamment Windows, macOS, Linux et, plus particulièrement, les environnements VMware ESXi. Ce malware est réputé pour recourir à des méthodes de chiffrement sophistiquées.
Lockbit3 – LockBit est un ransomware, fonctionnant dans un modèle RaaS, signalé pour la première fois en septembre 2019. LockBit cible les grandes entreprises et les entités gouvernementales de divers pays et ne cible pas les individus en Russie ou dans la Communauté des États indépendants.
Akira – Akira Ransomware, dont le premier signalement remonte à début 2023, cible les systèmes Windows et Linux. Il utilise le chiffrement symétrique avec CryptGenRandom() et Chacha 2008 pour chiffrer des fichiers et partagedes similitudes avec le ransomware Conti v2 qui a fait l’objet d’une fuite. Akira se propage par divers moyens, et notamment via des pièces jointes d’e-mails infectés et des exploits dans les points de terminaison VPN. Lors de l’infection, il chiffre les données et ajoute une extension ". akira" aux noms de fichiers, puis affiche une demande de rançon qui exige le paiment d’une somme d’argent pour déchiffrer les fichiers.