Check Point® Software Technologies Ltd. (code NASDAQ : CHKP), l’un des principaux fournisseurs de solutions de cybersécurité dans le monde, a publié son tout dernier indice des menaces pour février 2019, via Check Point Research, son équipe dédiée aux renseignements sur les menaces. L’indice révèle que Coinhive est resté en tête des menaces pour le 15ème mois consécutif, malgré l’annonce de l’arrêt de ses activités le 8 mars 2019.
Les chercheurs de Check Point ont également découvert plusieurs campagnes de diffusion à grande échelle du logiciel rançonneur GandCrab visant le Japon, l’Allemagne, le Canada et l’Australie. Ce ne sont qu’une partie des pays ciblés. Ces activités ont émergé au cours des deux derniers mois, et les chercheurs de Check Point ont remarqué qu’une nouvelle version du logiciel rançonneur était diffusé par l’une des campagnes. La nouvelle version, GandCrab V5.2, inclut la plupart des fonctionnalités de la version précédente, mais avec une modification quant à la méthode de chiffrement, faisant que l’outil de déchiffrement des versions précédentes du logiciel rançonneur n’est plus compatible.
En février, les logiciels malveillants les plus répandus étaient des extracteurs de cryptomonnaie. Coinhive reste le principal logiciel malveillant, touchant 10 % des entreprises dans le monde. Cependant, l’impact global de Coinhive continue de diminuer, passant de 18 % en octobre 2018 à 12 % en janvier 2019, puis baissant encore de 2 % ce mois-ci. Cette baisse est due à l’augmentation du coût de l’extraction de cryptomonnaie et à la baisse de la valeur du Monero. Jsecoin garde toujours sa place de second avec 4,83% d’impact global et de 9,51 % d’impact local. Cryptoloot fait son apparition dans le top 3 France remplaçant ainsi Nivdort.
Thierry Karsenti, Vice-Président Technique Europe chez Check Point, déclare : « comme nous l’avons vu en janvier, les pirates continuent d’exploiter de nouvelles méthodes de diffusion de logiciels malveillants, tout en créant de nouvelles variantes davantage dangereuses que les formes existantes de ces logiciels. La nouvelle version de GrandCrab prouve une fois de plus que les familles de logiciels malveillants qui restent en tête de liste mondiale pendant plusieurs mois et semblent statiques, évoluent et s’adaptent pour échapper à toute détection. En France, le peleton de tete ne change pas, les deux logiciels malveillants Coinhive et Jsecoin gardant leur place. Cryptoloot prend la troisième place. »
1. Coinhive : Un extracteur de cryptomonnaie Monero déclenché lorsqu’un internaute consulte une page web infectée, à son insu et sans son approbation. Le code JavaScript implanté utilise une grande partie des ressources informatiques des machines des utilisateurs finaux pour extraire de la cryptomonnaie, au risque de bloquer leur système.
2. Jsecoin : Mineur JavaScript qui peut être intégré dans des sites Web. Avec JSEcoin, vous pouvez exécuter le mineur directement dans votre navigateur en échange d’une expérience sans publicité, d’une monnaie dans le jeu et d’autres avantages.
3. Cryptoloot : Un extracteur de cryptomonnaie utilisant le processeur central ou le processeur graphique, et les ressources existantes de la victime, ajoutant des transactions à la blockchain et émettant de nouvelles unités de monnaie. Il s’agit d’un concurrent de Coinhive, qui tente de le devancer en demandant un pourcentage moins élevé des revenus générés à partir des sites web.
En février, Lotoor était le logiciel malveillant mobile le plus répandu, remplaçant Hiddad en tête de liste des principaux logiciels malveillants. Triada est resté à la troisième place.
1. Lootor : Un outil de piratage ciblant des vulnérabilités des systèmes d’exploitation Android afin d’obtenir des privilèges root sur les appareils mobiles compromis.
2. Hiddad : Un logiciel malveillant Android reconditionnant des applications légitimes, puis les publiant dans une boutique d’applications tierce. Sa fonction principale est l’affichage de publicités, mais il est également en mesure d’accéder aux informations de sécurité intégrées au système d’exploitation, afin de permettre à l’agresseur d’obtenir les données confidentielles des utilisateurs.
3. Triada : Une porte dérobée modulaire pour Android accordant des privilèges super-utilisateur aux logiciels malveillants téléchargés pour mieux les intégrer dans les processus système. Elle insère également de fausses URL dans le navigateur.
Des chercheurs de Check Point ont également analysé les vulnérabilités les plus exploitées. CVE-2017-7269 est toujours en tête des vulnérabilités les plus exploitées (45 %). La récupération d’informations OpenSSL TLS DTLS Heartbeat est la seconde vulnérabilité la plus exploitée, avec un impact global de 40 %, suivie de la vulnérabilité d’injection de code via configuration incorrecte des serveurs web PHPMyAdmin, touchant 34 % des entreprises dans le monde.
1. Débordement de la mémoire tampon dans Microsoft IIS WebDAV ScStoragePathFromUrl (CVE-2017-7269) - L’envoi d’une requête spécialement conçue à Microsoft Windows Server 2003 R2, via Microsoft Internet Information Services 6.0 sur un réseau, permettrait à un pirate d’exécuter à distance du code arbitraire ou provoquer un déni de service sur le serveur ciblé. Cela est principalement dû à une vulnérabilité de débordement de mémoire tampon résultant d’une validation incorrecte d’un en-tête long dans une requête HTTP.
2. Récupération d’informations OpenSSL TLS DTLS heartbeat (CVE-2014-0160, CVE-2014-0346) - Il existe une vulnérabilité de récupération d’informations dans OpenSSL. Cette vulnérabilité est due à une erreur de gestion des paquets dans la fonction TLS/DTLS heartbeat. Un pirate peut exploiter cette vulnérabilité pour récupérer le contenu de la mémoire d’un client ou d’un serveur connecté.
3. Injection de code via configuration incorrecte des serveurs web PHPMyAdmin - Une vulnérabilité d’injection de code a été signalée dans PHPMyAdmin. Elle est due à une mauvaise configuration de PHPMyAdmin. Un pirate distant peut exploiter cette vulnérabilité en envoyant une requête HTTP spécialement conçue à la cible.
L’indice Check Point des menaces et la carte ThreatCloud sont alimentés par des renseignements issus de Check Point ThreatCloud, le plus grand réseau collaboratif de lutte contre la cybercriminalité, qui fournit des données et des tendances sur les menaces et les attaques grâce à un réseau mondial de capteurs. La base de données ThreatCloud comprend plus de 250 millions d’adresses analysées pour découvrir des bots, plus de 11 millions de signatures de logiciels malveillants et plus de 5,5 millions de sites web infectés. Elle identifie des millions de types de logiciels malveillants quotidiennement