Titre: Le maliciel le plus traqué en août 2019: Echobot lance une attaque de grande envergure contre des dispositifs IoT  (12/09/2019 Par zion)
ZAVENTEM/SAN CARLOS – 12 septembre 2019 -- Check Point Research, la division Analyse des menaces de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), important fournisseur international de solutions de cyber-sécurité, publie la dernière édition en date de son Indice international des Menaces pour le mois d’août 2019. L’équipe de la division Research met en garde les entreprises contre Echobot, une nouvelle variante du botnet IoT Mirai, qui a déclenché des attaques de grande envergure contre toute une série de dispositifs IoT. Repéré pour la première fois en mai 2019, Echobot a exploité plus de 50 vulnérabilités différentes, provoquant une forte augmentation de la vulnérabilité “Command Injection Over HTTP” qui a touché 34% des entreprises à travers le monde.

Le mois d’août a vu la réactivation de l’infrastructure autorisant le déploiement du botnet Emotet, après que ses opérations aient été arrêtées deux mois auparavant. Emotet avait été le plus important botnet actif au premier semestre 2019. Bien qu’aucune campagne majeure n’ait encore été observée à ce jour, il est vraisemblable que l’infrastructure sera à nouveau utilisée afin de lancer des campagnes de pourriels à brève échéance.

« Echobot a été repéré pour la première fois à la mi-mai. En tant que nouvelle variante du célèbre botnet IoT Mirai, il est important de souligner l’accroissement sensible de l’exploitation qui en est faite, avec des attaques qui visent désormais plus de 50 vulnérabilités différentes. Echobot a touché 34% des entreprises dans le monde, ce qui démontre combien il est vital pour les sociétés de faire en sorte d’appliquer tous les correctifs et toutes les mises à jour nécessaires à leurs réseaux, leurs logiciels et leurs dispositifs IoT », déclare Maya Horowitz, directrice Threat Intelligence & Research pour les activités produits de Check Point.


Top 3 des maliciels “les plus recherchés” en août 2019:
*Les flèches font référence à l’évolution du classement par comparaison au mois précédent.
Ce mois-ci, XMRig demeure en tête de liste des principaux maliciels, suivi de Jsecoin - tous deux affichent le score de 7% en termes d’impact planétaire. Dorkbot arrive en troisième position, touchant 6% des entreprises à travers le monde.

1. ↔ XMRig – XMRig est un logiciel open source de minage de CPU utilisé pour le processus de minage de la crypto-monnaie Monero ; il a été repéré pour la première fois en mai 2017.
2. ↔ Jsecoin – Jsecoin est un mineur JavaScript qui peut être encapsulé dans des sites Internet. JSEcoin peut opérer directement à partir des navigateurs des utilisateurs en échange d’une expérience publicitaire gratuite, d’une monnaie enchâssée dans un jeu ou d’autres leurres.
3. ↔ Dorkbot – Dorkbot est un ver basé sur IRC conçu en vue de permettre à son concepteur d’exécuter du code à distance ainsi que le téléchargement de maliciels supplémentaires dans le système infecté.


Top 3 des maliciels mobiles “les plus recherchés” en août 2019:
Ce mois-ci, Lotoor s’est révélé être le maliciel mobile le plus répandu, suivi d’AndroidBauts et de Triada.

1. Lotoor – Outil de piratage qui exploite des vulnérabilités présentes dans le système d’exploitation Android afin d’obtenir des privilèges “root” sur des dispositifs mobiles infectés.
2. AndroidBauts – Publiciel qui vise les utilisateurs Android, exfiltrant des informations IMEI, IMSI, de localisation GPS ou autres, concernant les dispositifs, et qui ouvre la voie à l’installation d’applis tierces et de raccourcis sur des équipements mobiles.
3. Triada – Porte dérobée modulaire pour environnement Android qui octroie des privilèges de super-utilisateur à des maliciels téléchargés, les aidant à se greffer dans des processus système. Triada a également été surpris espionnant des URL dans le navigateur.


Les vulnérabilités les “plus exploitées” en août:
Ce mois-ci, les techniques d’injection SQL ont confirmé leur première place au sommet de la liste des vulnérabilités les plus exploitées, suivies de près par la vulnérabilité OpenSSL TLS DTLS Heartbeat Information Disclosure ; toutes deux ont touché 39% des entreprises à l’échelle mondiale. En troisième position, on pointera la vulnérabilité MVPower DVR Remote Code Execution, avec un impact planétaire atteignant 38% des entreprises dans le monde.

1. ↔ Injection SQL (diverses techniques) – Insertion de contenu dans une requête SQL du client vers l’application, tout en exploitant une faille de sécurité dans le logiciel de l’application.
2. ↔ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Vulnérabilité de type divulgation d’information existant au sein d’OpenSSL. La vulnérabilité est due à une erreur dans le traitement de paquets de pulsation TLS/DTLS. Un pirate peut tirer parti de cette vulnérabilité afin de divulguer le contenu de la mémoire d’un serveur ou d’un client connecté.
3. ↔ MVPower DVR Remote Code Execution – Vulnérabilité d’exécution de code à distance touchant des équipements DVR MVPower. Un pirate, opérant à distance, peut exploiter cette faille afin d’exécuter du code arbitraire dans le routeur infecté au moyen d’une requête conçue spécifiquement à cet effet.

L’Indice international d’Impact des Menaces de Check Point et sa carte ThreatCloud sont alimentés par les analyses ThreatCloud de Check Point, le plus important réseau collaboratif dédié à la lutte contre la cyber-criminalité qui procure des données sur les menaces et les tendances de piratage à partir d’un réseau international de capteurs de menaces. La base de données ThreatCloud contient plus de 250 millions d’adresses analysées afin de détecter des bots, plus de 11 millions de signatures de maliciels et plus de 5,5 millions de sites Internet infectés. Elle identifie par ailleurs chaque jour des millions de types de maliciels.

La liste complète des 10 principales familles de maliciels pour le mois d’août est disponible sur le blog de Check Point Blog.

Les ressources Prévention des menaces de Check Point sont disponibles sur: http://www.checkpoint.com/threat-prevention-resources/index.html
Retour