La cybersécurité est une lutte continue, car les cybercriminels perfectionnent leurs outils et diversifient leurs tactiques continuellement. L’étude de Check Point de novembre détaille l’ampleur des menaces et des maliciels les plus actifs, tout en dressant un panorama des secteurs les plus ciblés.

Dans son Global Threat Index de novembre, les chercheurs de Check Point mettent en lumière l’évolution constante de la cybercriminalité qui recourt à des techniques et des tactiques de plus en plus sophistiquées. Le recours, de plus en plus répandu, au maliciel Androxgh0st en est un exemple frappant. Ce maliciel, désormais intégré au botnet Mozi, multiplie les attaques ciblant les infrastructures critiques à l’échelle mondiale. Le botnet Mozi, actif depuis 2019, est une menace redoutable dans le domaine des cyberattaques, ciblant principalement les dispositifs IoT. Mozi se distingue par son utilisation de tactiques avancées et adaptatives, qui en ont fait l’un des botnets les plus persistants et efficaces à ce jour.

Les infrastructures vitales, telles que les réseaux énergétiques, les transports et les services de santé, sont des cibles privilégiées en raison de leur importance stratégique et de leurs vulnérabilités structurelles. Toute perturbation de ces systèmes peut entraîner un chaos majeur, des pertes financières colossales et des risques accrus
pour la sécurité publique.

Androxgh0st : des tactiques sophistiquées et adaptatives

Les chercheurs de Check Point ont révélé qu’Androxgh0st exploite des failles sur des plateformes variées, notamment des dispositifs IoT et des serveurs web. Il s’attaque à ces piliers des infrastructures essentielles, en utilisant les tactiques adaptatives de Mozi. Androxgh0st enrichit ainsi son arsenal en recourant à des techniques avancées comme l’exécution de code à distance, le vol d’identifiants, les techniques d’obfuscation. Le maliciel peut en outre établir des communications et de propagation en créant des communications paire à paire (P2P), en utilisant le protocole DHT (Distributed Hash Table). Grâce à ces capacités, il infecte un nombre croissant de dispositifs IoT et prend le contrôle de systèmes critiques, provoquant des effets domino dans plusieurs secteurs.

Ces attaques, illustrant l’ingéniosité des cybercriminels, posent des défis de taille aux gouvernements et aux entreprises, fortement dépendants de ces infrastructures. Maya Horowitz, vice-présidente de la recherche chez Check Point, souligne que « L’essor d’Androxgh0st, combiné aux capacités de Mozi, démontre l’adaptabilité des cybercriminels. Les entreprises doivent réagir avec des stratégies de cybersécurité robustes et proactives, capables de détecter et neutraliser ces menaces avant qu’elles ne causent
des dégâts irréversibles ».

Des maliciels à la carte

En novembre, Androxgh0st figure en tête des maliciels les plus répandus, représentant 5 % des infections globales, suivi de FakeUpdates et AgentTesla.
  1. (En hausse) Androxgh0st : ce botnet polyvalent cible les plateformes Windows, macOS et Linux, exploitant des failles dans des frameworks comme Laravel ou des serveurs Apache. Il dérobe des données sensibles, notamment des identifiants SMTP, des clés AWS ou des informations liées aux services Twilio.

  2. (En baisse) FakeUpdates : ce téléchargeur malveillant en JavaScript sert de vecteur pour d’autres maliciels, tels que Dridex ou DoppelPaymer.

  3. (Égal) AgentTesla : ce RAT (Remote Access Trojan, ou cheval de Troie d’accès à distance) collecte des informations sensibles en surveillant les frappes clavier, en prenant des captures d’écran et en exfiltrant des identifiants stockés dans des logiciels comme Outlook ou Firefox.

  4. (En hausse) Formbook : ce maliciel, proposé sous forme de service (MaaS), est réputé pour son coût faible et ses techniques avancées d’évasion.

  5. (En hausse) Remcos : diffusé via des documents Microsoft Office infectés, il contourne les contrôles de sécurité pour compromettre les systèmes Windows.

Les menaces mobiles

Le classement des maliciels mobiles place Joker en tête, suivi par Anubis et Necro.
  1. Joker : maliciel Android qui vole les données des utilisateurs et les inscrit à des services payants à leur insu.

  2. Anubis : cheval de Troie bancaire doté de capacités avancées, comme l’enregistrement de frappe ou des fonctionnalités de ransomware.

  3. Necro : conçu pour diffuser d’autres maliciels, il affiche des publicités intrusives et s’inscrit dans des abonnements frauduleux.

Les groupes de rançongiciels les plus actifs

Les secteurs les plus attaqués au niveau mondial incluent l’éducation et la recherche, les communications et les administrations publiques. En France, le secteur des loisirs et de l’hôtellerie est particulièrement visé, suivi par l’éducation et les communications.

Du côté des groupes de rançongiciels, RansomHub domine avec 16 % des attaques recensées, suivi d’Akira et de KillSec3. Ces groupes exploitent des tactiques de double extorsion, publiant les données volées sur des « sites de la honte » pour contraindre les victimes au paiement. RansomHub est un groupe responsable d’une opération de Ransomware-as-a-Service (RaaS) apparue début 2024. Il est issu d’une évolution du ransomware initialement connu sous le nom de Knight. RansomHub cible particulièrement les environnements VMware ESXi avec des méthodes de chiffrement sophistiquées. Akira utilise des techniques dérivées de Conti, ce ransomware qui affecte à la fois Windows et Linux. Enfin, KillSec3 est un groupe russophone tourné sur les secteurs de la santé et des administrations, avec une prédilection pour l’Inde.

ARTICLES SIMILAIRESPLUS DE L'AUTEUR