Cyber threats
Barometer

À la suite du succès de l’opération Endgame menée en mai 2024, EuroPol et son pendant judiciaire EuroJust ont lancé une suite à cette action de grande envergure naturellement nommée “Endgame 2.0”.
Au même titre que la première version, cette opération a visé les infrastructures et les opérateurs de Malwares-as-a-Service (MaaS) utilisés lors des compromissions initiales. L’objectif étant de priver les acteurs de la menace de leur point d’entrée prévenant par là même le déroulement du reste de la kill chain. C’est également un moyen de prouver la réactivité des services de police face à cette menace.

Les cibles étaient celles apparues à la suite du premier volet de l’opération, qu’il s’agisse de nouvelles variantes ou de nouveaux groupes. On trouvera parmi celles-ci Bumblebee et Trickbot déjà présent, mais également Qakbot, Lactrodectus ou encore Warmcookie. Au total, sur les 3 jours d’interventions du 19 au 22 mai, le bilan de l’opération sera de 300 serveurs éteints à travers le monde, 650 domaines neutralisés, 20 mandats d’arrêt émis et 3,5 millions d’euros en cryptomonnaie saisis.

Dans son communiqué EuroPol rappelle que ces actions ont été possibles grâce à l’action conjointe des services de police de plusieurs pays (Canada, Danemark, France, Allemagne, Hollande, Royaume-Uni et USA) et que l’ opération est toujours en cours. Les prochains mois pourraient donc être marqué par de nouveaux rebondissements.

Comme souvent en cybersécurité l’origine du concept de Kill Chain, utilisé pour décrire la structure d’une attaque, trouve son origine dans le domaine militaire. En 2011, le concept a été adapté à la cybersécurité, on parle alors aussi de cyber-killchain. L’objectif de ce découpage étant de permettre la mise en place de défense et de contrôle à chaque étape de l’attaque afin de l’endiguer et ainsi de prévenir les actions suivantes. Elle permet également de se situer dans la chronologie d’une attaque.

Dans la version initiale, proposée par la société Lockheed Martin, le mode opératoire des attaques informatiques étaient divisées en 7 phases : reconnaissance, armement, livraison, exploitation, installation, commande & contrôle et actions sur l’objectif.

Depuis, plusieurs autres versions ont été publiées. La plus connue étant probablement celle sur laquelle se base le framework ATT&CK de l’organisation MITRE comprenant deux fois plus de catégories parmi lesquelles la catégorie escalade de privilège ou encore mouvement latéral permettant d’avoir une vision plus granulaire, mieux adaptée à la complexité croissante des attaques.

Malwares, vulnérabilités critiques, attaques persistantes avancées, secteurs particulièrement visés, signaux faibles de menaces émergentes… Ce n’est un secret pour personne, la connaissance de son environnement cyber est un facteur clé pour la sécurité d’une entreprise. Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par Gatewatcher CTI, notre plateforme de Cyber Threat Intelligence.

Les moteurs automatisés de collecte, d’analyse et de corrélation de Gatewatcher CTI sont alimentés en permanence par plus de quatre milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, dark et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.