L’augmentation des attaques ciblant l’IoT et la vulnérabilité des réseaux devient particulièrement préoccupante.

Si à lui seul, le cheval de Troie Coinhive a touché 19 % des entreprises dans le monde et 16 % en France, 45 % des entreprises ont été touchées par des attaques ciblant des vulnérabilités en lien avec l’IoT, contre 35 % en juin 2018 et 21 % en mai.

Les attaques ciblant l’IoT permettent aux cybercriminels d'exécuter des codes malveillants dans le but d'obtenir le contrôle à distance de dispositifs cibles. L’intérêt qu’ils portent à ces menaces est démontré par l’entrée dans le Top 10 des « Vulnérabilités les plus exploitées au monde » de 3 vulnérabilités en lien avec l’IoT : MVPower DVR router Remote Code Execution (5ème place), D_Link DSL-2750B router Remote Command Execution (7ème place) et Dasan GPON router Authentication Bypass (10ème place).

Top 10 du mois de juillet des malwares en France

Coinhive

  • 18,60 % au mondial et 16,02 % en France
  • Ce cheval de Troie est conçu pour effectuer l'extraction en ligne de la crypto-monnaie Monero lorsqu'un internaute visite une page Web.

Le script java implanté utilise les ressources informatiques des utilisateurs finaux pour extraire de la monnaie cryptée.

Roughted

  • 5,85 % au mondial et 11,60 % en France
  • Campagne de publicité malveillante à grande échelle, elle est utilisée pour diffuser divers sites Web et charges embarquées malveillants tels que des escroqueries, des logiciels publicitaires, des kits d'exploitation de vulnérabilité et les logiciels de rançon.

Il peut être utilisé pour attaquer n'importe quel type de plateforme et de système d'exploitation, et utilise le contournement des bloqueurs de publicités pour attaquer de la manière la plus efficace.

Cryptoloot

  • 6,92 % au mondial et 7,07 % en France
  • Ce malware utilise la puissance du processeur ou du GPU de la victime et les ressources existantes pour le crypto-mining, en ajoutant des transactions à la chaîne de blocage et en libérant de nouvelles devises.

Similaire à Coinhive, ce programme est implanté sur des pages Web et utilise le pouvoir de traitement des internautes pour exploiter tous types de crypto-monnaies.

Conficker

  • 3,50 % au mondial et 4,09 % en France
  • Conficker est un ver informatique qui cible le système d'exploitation Windows. Il exploite les vulnérabilités de l'OS pour voler des données telles que des mots de passe.

Ainsi, il prend le contrôle des ordinateurs touchés, les transformant en ‘zombie’. Les ordinateurs contrôlés forment alors un réseau, utile aux hackers.

Jsecoin

  • 5,92 % au mondial et 3,76 % en France
  • Ce mineur JavaScript peut être intégré à n’importe quel site Web. 

JSEcoin permet de lancer un mineur directement dans le moteur de recherche en échange d’une navigation Web sans publicité.

Dorkbot

  • 6,91 % au mondial et 2,98 % en France
  • Dorkbot est un ver basé sur un IRC conçu pour permettre l'exécution de code à distance, ainsi que le téléchargement de logiciels malveillants vers le système déjà infecté. Ce dernier permet de voler des informations sensibles et de lancer des attaques par déni de service.

Il installe un rootkit en mode utilisateur pour empêcher l'affichage ou l'altération des fichiers et modifie le registre pour s'assurer qu'il s'exécute chaque fois que le système démarre. Il enverra des messages à tous les contacts de l'utilisateur infecté ou détournera un thread existant pour diffuser un lien renvoyant vers la copie du ver.

Locky

  • 1,72 % au mondial et 2,10 % en France
  • Locky est un cheval de Troie ransomware qui cible la plate-forme Windows.

Ce logiciel malveillant envoie des informations système à un serveur distant et reçoit une clé de cryptage permettant de crypter les fichiers présents sur le système infecté.

Fireball

  • 3,02 % au mondial et 1,99 % en France
  • Fireball est un logiciel publicitaire largement distribué par la société chinoise de marketing numérique Rafotech.

C’est un détourneur de navigateur qui change le moteur de recherche par défaut et installe des pixels de suivi, mais qui peut aussi servir à télécharger des logiciels malveillants.

Nivdort

  • 2,75 % au mondial et 1,88 % en France
  • Appartenant à la famille de chevaux de Troie ciblant la plate-forme Windows, il est capable de recueillir des mots de passe et des informations sur le système ou les paramètres telles que la version Windows utilisée, l'adresse IP, la configuration du logiciel et l'emplacement approximatif. Certaines versions de ce malware sont aussi en mesure de collecter les frappes de touches afin de modifier les paramètres DNS.

Nivdort se propage via des pièces jointes de courriers indésirables ou des sites Web malveillants.

Andromeda

  • 18,60 % au mondial et 16,02 % en France
  • Repéré pour la première fois en 2011, Andromeda est un bot modulaire principalement utilisé comme porte dérobée afin de diffuser des logiciels malveillants supplémentaires sur les systèmes infectés.

Il peut aussi être modifié dans le but de créer différents types de botnets.

Source : « Global Threat Index » juillet 2018 de Check Point Software Technologies

Image d’entête 950126772 @ iStock johavel