HummingBad et compagnie : Le nombre de ransomwares aurait doublé au second semestre 2016

HummingBad et compagnie ! Un rapport révèle que les attaques de logiciels rançonneurs, les ransomwares, ont doublé au second semestre 2016. Sur l’ensemble des incidents de logiciels malveillants reconnus à l’échelle mondiale, le pourcentage d’attaques des maîtres chanteurs 2.0 est passé de 5,5 % à 10,5 % entre juillet et décembre 2016.

HummingBad, Conficker and co ! Le nouveau rapport de Check Point, baptisé Threat Index, du second semestre 2016 présente les tactiques utilisées par les cybercriminels pour attaquer les entreprises, et détaille les principales catégories de logiciels malveillants : rançonneurs, bancaires et mobiles. Il repose sur des renseignements sur les menaces tirés de sa carte Threat Map, entre juillet et décembre 2016. Des chiffres qui ne concernent donc que les clients de la société. Des statistiques présentées dans ce rapport reposent sur des données tirées de la carte Threat Map et du réseau ThreatCloud, le plus grand réseau collaboratif de lutte contre la cybercriminalité, fournissant des données et des tendances sur les menaces et les attaques grâce à un réseau mondial de capteurs. Plus de 250 millions d’adresses analysées pour la recherche de bots, ainsi que plus de 11 millions de signatures de logiciels malveillants et 5,5 millions de sites web infectés.

Le monopole sur le marché des logiciels rançonneurs – Des milliers de nouvelles variantes de logiciels rançonneurs ont été découvertes en 2016, et au cours des derniers mois, nous avons assisté à un changement suite à la consolidation du paysage des logiciels rançonneurs. Quelques familles de logiciels malveillants importantes dominent désormais le marché et frappent les entreprises de toute taille.

Attaques DDoS via les objets connectés – Le botnet Mirai a été découvert en août 2016. Tout premier de sa catégorie, ce botnet de l’Internet des objets s’attaque aux caméras de surveillance (CCTV) et aux enregistreurs vidéo numériques (DVR) vulnérables connectés à Internet. Il les transforme en bots pour lancer de multiples attaques de déni de service distribué (DDoS) à fort volume. On estime que des objets connectés vulnérables sont présents dans presque tous les foyers, et que des attaques DDoS massives les exploitant continueront de persister.

Nouveaux types de fichiers utilisés dans les campagnes de spam – Les téléchargeurs basés sur le moteur de scripts Windows (WScript) ont été le vecteur d’infection le plus répandu utilisé dans les campagnes de spam malveillantes tout au long du second semestre 2016. Rédigés en Javascript (JS) et en VBScript (VBS), ces téléchargeurs ont dominé le paysage de la diffusion de spam malveillant, ainsi que des formats similaires moins courants tels que JSE, WSF et VBE.

HummingBad, Conficker et compagnie : principaux logiciels malveillants du second semestre 2016

1.    Conficker (14,5 %) – Un ver permettant d’effectuer des opérations à distance et de télécharger des logiciels malveillants. Les postes infectés sont contrôlés par un botnet, qui contacte son serveur de commande et de contrôle pour recevoir des instructions.

2.    Sality (6,1 %) – Un virus permettant d’effectuer des opérations à distance et de télécharger des logiciels malveillants supplémentaires dans les systèmes infectés par son opérateur. Son objectif principal est de rester actif dans un système pour le télécommander et installer d’autres logiciels malveillants.

3.    Cutwail (4,6 %) – Un botnet principalement utilisé pour l’envoi de spam et des attaques DDoS. Une fois installés, les bots se connectent directement à leur serveur de commande et de contrôle, et reçoivent des instructions concernant les emails qu’ils doivent envoyer. Lorsque leur tâche est terminée, les bots communiquent à leur opérateur des statistiques précises sur leurs activités.

4.    JBossjmx (4,5 %) – Un ver ciblant les systèmes comportant une version vulnérable du serveur applicatif JBoss. Le logiciel malveillant crée une page JSP malveillante sur les systèmes vulnérables qui exécute des commandes arbitraires. Par ailleurs, une autre porte dérobée est créée pour obtenir des instructions auprès d’un serveur IRC distant.

5.    Locky (4,3 %) – Un logiciel rançonneur dont la diffusion a débuté en février 2016, qui se propage principalement via des emails de spam contenant un téléchargeur déguisé en pièce jointe au format Word ou Zip. Il télécharge et installe un logiciel malveillant chiffrant les fichiers des utilisateurs.
Principaux logiciels rançonneurs du second semestre 2016 : Le pourcentage d’attaques de logiciels rançonneurs a presque doublé durant la seconde moitié de 2016, passant de 5,5 % à 10,5 %.

Les variantes les plus courantes détectées étaient les suivantes

1.    Locky 41 % – Le troisième logiciel rançonneur le plus courant au 1er semestre, qui s’est considérablement répandu durant la seconde moitié de l’année.

2.    CryptoWall 27 % – Le logiciel rançonneur qui était initialement une imitation de CryptoLocker, puis qui l’a finalement surpassé. Après le retrait de CryptoLocker, CryptoWall est devenu l’un des logiciels rançonneurs les plus importants à ce jour. CryptoWall utilise le chiffrement AES et communique avec son serveur de commande et de contrôle via le réseau anonyme Tor. Il est largement diffusé via des kits d’exploitation de vulnérabilités, des publicités malveillantes et des campagnes de phishing.

3.    Cerber 23 % – Le plus important logiciel rançonneur sous forme de service.  Cerber est commercialisé sur le modèle de la franchise. Ses développeurs recrutent des affiliés qui répandent le logiciel malveillant moyennant un pourcentage des bénéfices.

HummingBad, Conficker et les  principaux logiciels malveillants mobiles du second semestre 2016

1.    HummingBad 60 % – Un logiciel malveillant Android installant un rootkit persistant et des applications frauduleuses sur les appareils, qui permettent, à l’aide de légères modifications, des activités malveillantes supplémentaires telles que l’installation d’un enregistreur de frappes, le vol d’identifiants et le contournement des conteneurs chiffrés de courrier électronique utilisés par les entreprises.

2.    Triada 9 % – Une porte dérobée modulaire pour Android accordant des privilèges super-utilisateur aux logiciels malveillants téléchargés pour mieux les intégrer dans les processus système. Triada charge également de fausses URL dans le navigateur.

3.    Ztorg 7 % – Un cheval de Troie utilisant les privilèges root pour télécharger et installer des applications sur des téléphones mobiles à l’insu de leurs utilisateurs.

Principaux logiciels malveillants bancaires du second semestre 2016

1.    Zeus 33 % – Un cheval de Troie ciblant les plates-formes Windows, qui est souvent utilisé pour dérober des informations bancaires via l’enregistrement des frappes et le détournement de formulaires.

2.    Tinba 21 % – Un cheval de Troie bancaire dérobant les informations d’identification des victimes à l’aide d’injections web activées lorsque les utilisateurs tentent de se connecter au site web de leur banque.

3.    Ramnit 16 % – Un cheval de Troie bancaire dérobant les informations d’identification de sites bancaires, mots de passe FTP, cookies de session et données personnelles.

« Le rapport démontre la nature des cybermenaces d’aujourd’hui, » précise Maya Horowitz, Threat Intelligence Group Manager chez Check Point. « Les attaques de logiciels rançonneurs se développent rapidement car elles sont tout simplement efficaces et génèrent des revenus importants pour les agresseurs. Les entreprises rencontrent des difficultés pour lutter efficacement contre ces menaces ; la plupart d’entre elles ne possède pas les bonnes défenses, ni de personnel capable de reconnaître les signes potentiels d’une attaque de logiciel rançonneur dans les emails entrants. »

« Nos données démontrent qu’un petit nombre de familles sont à l’origine de la majorité des attaques, tandis que des milliers d’autres familles de logiciels malveillants sont rarement utilisées, » poursuit Mme Horowitz. « La plupart des cybermenaces sont véritablement mondiales, mais la région Asie-Pacifique se classe cependant au premier rang avec 5 familles de logiciels malveillants qui ne figurent dans aucune autre région. »

Le rapport complet est disponible sur cette page :
http://blog.checkpoint.com/2017/02/21/ransomware-doubled-in-second-half-of-2016/