Dans le Global Threat Index d'août 2023, Formbook était le malware le plus répandu en Allemagne, suivi de CloudEyE et Qbot.
Outre-Atlantique, le FBI a annoncé en août une victoire significative dans son opération mondiale contre le Qbot (également connu sous le nom de Qakbot). Dans le cadre de l'opération Duck Hunt, le FBI a pris le contrôle du botnet, supprimé le logiciel malveillant des appareils infectés et identifié un nombre important d'appareils concernés.
Qbot est en forte baisse
Qbot est devenu un service de diffusion de logiciels malveillants utilisé pour diverses activités cybercriminelles, notamment les attaques de ransomwares. Il se propage généralement via des campagnes de phishing et collabore avec d’autres acteurs malveillants. Bien que Qbot soit resté le malware le plus répandu dans le monde en août, Check Point a observé une baisse significative de son impact suite à l'opération. Les serveurs du malware ont également été paralysés en Allemagne, comme l'a annoncé le BKA.
Maya Horowitz, vice-présidente de la recherche chez Check Point Software, à propos de la grève contre Qbot : « Le retrait de QBot a constitué une avancée significative dans la lutte contre la cybercriminalité. Cependant, nous ne devons pas nous reposer sur nos lauriers, car lorsque l’un tombe, un autre se relève et prend sa place. Nous devons tous rester vigilants, travailler ensemble et continuer à pratiquer une bonne hygiène de sécurité sur tous les vecteurs d’attaque.
Principaux logiciels malveillants en Allemagne
Formbook a été le malware le plus répandu le mois dernier, avec un impact légèrement en baisse de 11,88 % sur les organisations allemandes, suivi de CloudEyE avec un impact national de 11,72 % et de Qbot avec 4,82 %.
↔ Formbook – Formbook est un voleur d'informations ciblant le système d'exploitation Windows et a été découvert pour la première fois en 2016. Il est commercialisé sous le nom de Malware as a Service (MaaS) sur les forums de piratage souterrains en raison de ses techniques d'évasion puissantes et de son prix relativement bas. FormBook collecte les informations de connexion à partir de divers navigateurs Web, collecte des captures d'écran, surveille et enregistre les frappes au clavier, et peut télécharger et exécuter des fichiers sur instruction de son C&C.
↑ CloudEyE–CloudEye, anciennement appelé « GuLoader », est un téléchargeur qui cible la plateforme Windows et est utilisé pour télécharger et installer des programmes malveillants sur les ordinateurs des victimes.
↔ Qbot – Qbot AKA Qakbot est un malware polyvalent apparu pour la première fois en 2008. Il est conçu pour voler les identifiants de connexion d'un utilisateur, enregistrer les frappes au clavier, voler les cookies des navigateurs, espionner l'activité bancaire et installer des logiciels malveillants supplémentaires. Couramment distribué via des spams, Qbot utilise plusieurs techniques anti-VM, anti-débogage et anti-sandbox pour compliquer l'analyse et échapper à la détection. Depuis 2022, c'est l'un des chevaux de Troie les plus répandus.
Top 3 des vulnérabilités
Le mois dernier, « HTTP Headers Remote Code Execution » était la vulnérabilité la plus exploitée, affectant 40 % des organisations dans le monde, suivie par « Command Injection Over http », affectant 38 % des organisations dans le monde. « MVPower CCTV DVR Remote Code Execution » était la troisième vulnérabilité la plus exploitée avec un impact global de 35 %.
↑ En-tête HTTP Exécution de code à distance (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) - Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut employer un en-tête HTTP vulnérable pour exécuter du code arbitraire sur la machine victime.
↑ Injection de commandes via HTTP (CVE-2021-43936, CVE-2022-24086) - Une vulnérabilité d'injection de commande sur HTTP a été signalée. Un attaquant distant peut exploiter ce problème en envoyant une requête spécialement conçue à la victime. S'il est exploité avec succès, un attaquant pourrait exécuter du code arbitraire sur l'ordinateur cible.
↑ Exécution de code à distance MVPower CCTV DVR (CVE-2016-20016) – Une vulnérabilité d'exécution de code à distance dans MVPower CCTV DVR. L'exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant distant d'exécuter du code arbitraire sur le système affecté.
Top 3 des logiciels malveillants mobiles
Le mois dernier, Anubis est resté en tête des malwares mobiles les plus courants, suivi par AhMyth et SpinOk, qui ont échangé leurs places.
↔ Anubis – Anubis est un cheval de Troie bancaire malveillant conçu pour les téléphones mobiles Android. Depuis sa découverte initiale, il a acquis des fonctionnalités supplémentaires, notamment un cheval de Troie d'accès à distance (RAT), un enregistreur de frappe, des capacités d'enregistrement audio et diverses capacités de ransomware. Il a été découvert dans des centaines d'applications différentes sur le Google Store.
↑ AhMythe – AhMyth est un cheval de Troie d'accès à distance (RAT) découvert en 2017. Il est distribué via des applications Android disponibles dans les magasins d'applications et sur divers sites Web. Lorsqu'un utilisateur installe l'une de ces applications infectées, le logiciel malveillant peut collecter des informations sensibles sur l'appareil et effectuer des actions telles que l'enregistrement de frappe, la prise de captures d'écran, l'envoi de messages SMS et l'activation de l'appareil photo, qui sont généralement utilisées pour voler des informations sensibles.
↓ SpinOk – SpinOk est un module logiciel Android qui fonctionne comme un programme espion. Il collecte des informations sur les fichiers stockés sur les appareils et est capable de les transmettre à des acteurs malveillants. Le module malveillant a été détecté dans plus de 100 applications Android et a été téléchargé plus de 2023 421.000.000 XNUMX de fois en mai XNUMX.
Top 3 des secteurs et zones attaqués en Allemagne
↑ SI/VAR/Distributeurs
↑ services de santé
↑ FAI / MSP
L'indice d'impact mondial des menaces et ThreatCloudMap de Check Point sont basés sur ThreatCloudIntelligence de Check Point. ThreatCloud fournit des renseignements sur les menaces en temps réel provenant de centaines de millions de capteurs dans le monde entier sur les réseaux, les points finaux et les téléphones mobiles. Cette intelligence est enrichie de moteurs basés sur l'IA et de données de recherche exclusives de Check Point Research, la division de recherche et développement de Check Point Software Technologies.
Plus sur CheckPoint.com
À propos du point de contrôle Check Point Software Technologies GmbH (www.checkpoint.com/de) est l'un des principaux fournisseurs de solutions de cybersécurité pour les administrations publiques et les entreprises du monde entier. Les solutions protègent les clients contre les cyberattaques avec un taux de détection des logiciels malveillants, des rançongiciels et d'autres types d'attaques à la pointe du secteur. Check Point propose une architecture de sécurité multicouche qui protège les informations de l'entreprise sur le cloud, le réseau et les appareils mobiles, ainsi que le système de gestion de la sécurité « à un seul point de contrôle » le plus complet et le plus intuitif. Check Point protège plus de 100.000 XNUMX entreprises de toutes tailles.
Articles liés au sujet