Le nombre d’attaques utilisant le botnet Phorpiex, qui diffuse le nouveau ransomware « Avaddon » via des campagnes de spam, serait en forte augmentation.
Des chercheurs en cybersécurité de Check Point Research ont découvert le mois dernier que le botnet Phorpiex diffusait le logiciel rançonneur Avaddon (lire notre article au sujet de ce ransomware), nouvelle variante sous forme de services (RaaS) apparue début juin via des campagnes de spam. Il passe dans le Top 3 des principaux logiciels malveillants. Il touche deux fois plus d’entreprises dans le monde entier par rapport au mois de mai.
Phorpiex diffuse des campagnes de spam de sextorsion à grande échelle, et diffuse d’autres familles de logiciels malveillants. Les récents messages de spam diffusés via Phorpiex tentent d’inciter les destinataires à ouvrir une pièce jointe au format Zip en utilisant l’emoji représentant un clin d’œil dans la ligne d’objet des messages. Lorsqu’un utilisateur ouvre le fichier, le rancomware Avaddon s’active et chiffre les données sur l’ordinateur, puis demande une rançon en échange du déchiffrement des fichiers. Lors d’études menées en 2019, Check Point a découvert plus d’un million d’ordinateurs Windows infectés par Phorpiex.
« Dans le passé, Phorpiex, également appelé Trik, était monétisé par la diffusion d’autres logiciels malveillants tels que GandCrab, Pony ou Pushdo, et l’utilisation de ses hôtes à des fins d’extraction de cryptomonnaie ou de campagnes de sextorsion. Il est désormais utilisé pour diffuser une nouvelle campagne de logiciel rançonneur », déclare Maya Horowitz, directrice de la recherche et des renseignements sur les menaces chez Check Point. « Les entreprises devraient enseigner à leurs collaborateurs comment identifier les types de spam qui véhiculent ces menaces, comme par exemple cette campagne ciblant des utilisateurs avec des emails contenant l’emoji représentant un clin d’œil, et veiller à ce qu’elles déploient une sécurité qui empêche activement ces menaces d’infecter leurs réseaux. »
Les chercheurs ont estimé les revenus annuels générés par le botnet Phorpiex à environ 500 000 dollars.
Parmi les autres menaces du mois juin, les chercheurs évoquent le cheval de Troie d’accès à distance et de vol d’informations Agent Tesla, qui a continué d’avoir un impact significatif tout au long du mois de juin, passant de la seconde position en mai à la première position, L’extracteur de cryptomonnaie XMRig est resté en troisième position pour le deuxième mois consécutif.
L’équipe de recherche prévient également que la récupération d’informations OpenSSL TLS DTLS heartbeat est la vulnérabilité la plus couramment exploitée, touchant 45 % des entreprises dans le monde, suivie de près par la vulnérabilité d’exécution de code à distance MVPower DVR qui touche 44 % des entreprises dans le monde. La vulnérabilité de récupération d’informations sur le référentiel Git d’un serveur web exposé reste en troisième position, avec un impact global de 38 %.
Top 3 des logiciels malveillants en juin
Agent Tesla – Un outil malveillant d’accès à distance capable de surveiller et de collecter les frappes au clavier et le contenu du presse-papiers, d’effectuer des captures d’écran et d’exfiltrer les identifiants de différents logiciels installés sur la machine de la victime (y compris Google Chrome, Mozilla Firefox et le client de messagerie Microsoft Outlook). Ce logiciel malveillant touche 3 % des entreprises au niveau mondial.
Phorpiex – Un botnet qui diffuse d’autres familles de logiciels malveillants via des campagnes de spam, et mène des campagnes de sextortion à grande échelle. Il touche 2 % des entreprises.
XMRig – Un logiciel open source utilisant les ressources du processeur pour extraire de la cryptomonnaie Monero. Il a été découvert pour la première fois en mai 2017. Il touche lui aussi 2 % des entreprises.