Archives par mot-clé : RIG

Exploit kits : Les USA n° 1 en nombres d’adresses Web malveillantes

Au deuxième trimestre, les États-Unis étaient en tête concernant l’hébergement de domaines malveillants et d’exploit kits. La Chine passe de la 2e à la 7e position.

Mails malveillants, exploit kits et compagnie ! L’Unit42, unité de recherches de Palo Alto Networks, analyse régulièrement les données en provenance de son ELINK (Email Link Analysis) pour détecter les modèles et les tendances sous-jacentes aux menaces actuelles sur le Web. Aujourd’hui, l’Unit42 partage son analyse pour la période d’avril à juin 2018 (retrouvé le précédent rapport portant sur la période de janvier à mars 2018 ici. L’Unit42 fournit également une analyse détaillée des attaques contre la faille CVE-2018-8174 (voir plus bas en lien) en utilisant l’exploit Double Kill.

Ce trimestre l’Unit42 a constaté peu d’évolution dans les vulnérabilités exploitées, y compris certaines particulièrement vieilles. Toutefois, l’une d’entre elles, toute nouvelle, s’appuyait sur une faille zero-day arrive en tête de la liste. Les États-Unis demeurent le premier pays en nombre de domaines malveillants hébergés, avec également une part en forte hausse des Pays-Bas. En dehors de ces deux pays, le nombre de domaines malveillants hébergés baisse radicalement à travers le globe, y compris en Russie et en Chine.

USA, TOP 1 de l’hébergement d’exploit kits

Les États-Unis sont également les premiers en ce qui concerne l’hébergement d’exploit kits (EKs) dans le monde avec un ratio de deux pour un comparé avec le pays arrivant juste derrière en deuxième position, la Russie. De fait, à eux seuls les États-Unis hébergent plus d’EKs que l’ensemble des autres pays. Les exploits kits pour KaiXin, Sundown et Rig sont restés aussi actifs au deuxième trimestre qu’au premier. Avec des différences régionales notables : KaiXin se trouvant particulièrement en Chine, à Hong Kong et en Corée alors que Grandsoft (un nouveau venu chez les EKs), Sundown et Rig dominent partout ailleurs.

En nous basant sur ses constatations, l’Unit42 conseille aux entreprises de s’assurer que Microsoft Windows, Adobe Flash et Adobe Reader sont parfaitement à jour aussi bien en ce qui concerne les version que les mises à jour de sécurité. De plus, les entreprises devraient plutôt chercher à restreindre les privilèges des comptes utilisateurs pour limiter les dommages causés par les malwares. Enfin, les protections contre les URL et les domaines malveillants et la sécurisation des points d’accès pour prévenir l’infection par des malwares peuvent limiter l’impact des menaces dont nous discutons dans ce billet.

Les États-Unis demeurent le premier pays en nombre d’hébergement

Au total, à l’exception des Pays-Bas, le nombre de domaines malveillants hébergés hors États-Unis est nettement moins important que ce qui avait été constaté au premier trimestre.
L’Unit42 a noté une hausse importante des domaines malveillants hébergés aux Pays-Bas.
Elle a constaté une baisse importante des domaines malveillants hébergés en Russie et en Chine qui sont désormais tous deux à égalité en septième position de la liste.
Bien qu’aillant observé une forte baisse des domaines malveillants hébergés à Hong Kong, la ville demeure le troisième hébergeur du classement
L’Australie arrive en quatrième position, mais sans réelle augmentation des hébergements.
Le nombre de domaines malveillants hébergés en Allemagne a été réduit de moitié.
Le nombre de domaines malveillants hébergés en Italie et au Royaume-Uni n’a pas bougé. Toutefois, en raison du déclin généralisé hors États-Unis et Pays-Bas, ils ne sont plus à égalité en troisième position, mais en sixième.

Vulnérabilités

La CVE-2018-8174, une vulnérabilité touchant VBScript de Microsoft, qui a été utilisée dans des attaques zero-day et qui a fait l’objet d’un patch en mai, a été très largement utilisée ce trimestre. De vulnérabilités très vieilles sont toujours très utilisées. CVE-2009-0075, une faille concernant Internet Explorer 7 qui a neuf ans et demi était dans le top 5 le trimestre dernier et arrive en 4e position ce trimestre. CVE-2008-4844, une autre faille tout aussi ancienne affectant Internet Explorer 5, 6 et 7 arrive ce trimestre en 5e position. Les failles visées restent identiques. Quatre des cinq premières failles exploitées ce trimestre étaient déjà dans notre top 6 le trimestre dernier (CVE-2016-0189, CVE-2014-6332, CVE-2009-0075 et CVE-2008-4844).

Exploit kits

Les États-Unis ont été la première source de déploiement pour Grandsoft, Sundown et Rig. La deuxième nation pour KaiXindevenant ainsi la première source de déploiement pour les exploit kits en général. Dénombré, deux fois plus d’exploit kits aux États-Unis au total que dans le deuxième pays de ce classement, à savoir, la Russie. La Russie est arrivée en deuxième position mondiale uniquement pour Grandsoft, Sundown et Rig. KaiXin principalement en Chine, à Hong Kong et en Corée, avec une distribution plus limitée aux États-Unis et aux Pays-Bas.  Conformément à d’autres résultats du rapport de l’Unit42, les Pays-Bas arrivent en 5e position sur ce classement, principalement pour Grandsoft, Sundown et Rig mais aussi pour KaiXin. L’Australie arrive en 6e position. KaiXin, implanté dans la zone Asie-Pacifique, n’existe pas en Australie. Seulement Grandsoft, Sundown et Rig.

1 spam sur 4 est européen

L’entreprise Proofpoint vient de publier son rapport trimestriel sur les menaces cyber (« Quarterly Threat Report ») qui étudie les attaques, tendances et transformation aperçues dans le paysage des risques informatiques sur la période de juillet à septembre 2015.

Dans ce rapport, on apprend que l’Union européenne génère le plus de spams à travers le monde (25,75 %) et, au sein de l’UE, l’Allemagne (3,2 %). Les Etats-Unis demeurent le pire pays globalement (11,46 % du total mondial). Les auteurs d’attaques très ciblées continuent de privilégier le courriel comme vecteur mais les réseaux sociaux ne cessent de gagner en importance. Par exemple, nous avons récemment vu des cybercriminels exploiter les demandes de service client des réseaux sociaux via Twitter.

Les campagnes diffusant le cheval de Troie bancaire Dridex ont éclipsé les autres malwares en volume et innovent constamment en matière de formats de pièces jointes, de modèles de documents ou encore de techniques de dissimulation et d’infection. Même si des efforts de lutte contre Dridex ont été signalés au trimestre précédent, cela n’a guère eu pour effet un recul de son activité sur le long terme. L’arrestation, début septembre, d’un membre du groupe à l’origine de Dridex a certes causé une pause dans cette activité mais celle-ci est repartie de plus belle, accompagnée rapidement de nouvelles formes de malware, illustrant de manière éclatante la résilience et la capacité d’adaptation des menaces.

« Angler » (Axpergle/Bedep) domine la scène des kits d’exploitation des vulnérabilités, où quatre autres acteurs (Neutrino, Nuclear, Magnitude et RIG) représentent l’essentiel du reste de ce type d’activité. Angler est connu, comme le montre notre capture écran, comme étant un grand acteur des vagues de ransomware de la planète web.