Mai 2024

Cyber threats
Barometer

Les cyber-menaces du mois vues par les analystes CTI de Gatewatcher
253 046
Indicateurs de compromission (IoCs) identifiés
100 353
Rapports de compromission identifiés (groupement d’IoCs)

Éclairage du mois

Dans la continuité des opérations contre le cybercrime constatées depuis quelques mois, le mois de mai 2024 a vu fleurir les actions menées par les autorités contre les plateformes d’échange du cybercrime.
Fin mai, l’opération Endgame, menée par Europol et soutenue par la France qui visait les activités MaaS (Malware as a Service), a conduit à l’arrestation de quatre suspects ainsi qu’à la saisie d’environs 2000 domaines. Une centaine de serveurs ont également été saisis au cours de cette action d’envergure qui a nécessité la coordination des polices et organismes de lutte cyber de nombreux pays comprenant la France, le Danemark, l’Allemagne, les Pays Bas, l’Ukraine, le Portugal, les Etats Unis et le Royaume Uni. Cette opération visait spécifiquement les réseaux de botnets, des groupes d’ordinateurs pilotés par une même personne à des fins malveillantes, ainsi que les dropper, outils permettant la diffusion de code malveillant. Elle n’en serait manifestement qu’a ses débuts.

L’autre évènement notable du mois de mai est la saisie de Breachforums par une coalition des polices de différents pays dont le FBI et menant à la fermeture temporaire de ce dernier.

Capture de la mention de saisie du site BreachForums
Capture de la mention de saisie du site BreachForums

Breachforums est un forum de discussion et une marketplace permettant aux cybercriminels d’échanger et de vendre des données. Le 15 mai, l’arrestation d’un des administrateurs principaux, Baphomet, et la saisie des serveurs ont permis aux enquêteurs de fermer provisoirement le forum. Le coup d’éclat fut néanmoins de courte durée, l’administrateur ayant réussi à recréer l’infrastructure quelque jours après. Selon lui, les agents du FBI auraient involontairement commis une erreur en demandant au gestionnaire du nom de domaine de rediriger les flux du forum, sans saisir le nom de domaine, vers la page annonçant la saisie. L’administrateur du forum aurait fait une requête pour récupérer le nom de domaine permettant a Breachforum de renaître de ces cendres. En outre les agents du FBI auraient involontairement facilité ce retour plus rapide que prévu en saisissant par erreur la totalité des serveurs du datacenter, qui contenaient pour certains des services tout à fait légitimes. Le vice de procédure qui en a résulté a imposé la restitution rapide des serveurs et de facto la restauration du forum malveillant. A ce jour, les institutions américaines n’ont publié aucun démenti public.

TOP

VULNÉRABILITÉS CRITIQUES (%)

TOP

SECTEURS  D’ACTIVITÉ VISÉS (%)

Définitions du mois

Le takedown, ou démantèlement en français, est une action technique ou légale, permettant de rendre inopérant un implant, botnet, ou acteur de la menace. Il peut par exemple se traduire par la réquisition de serveur ou de noms de domaines comme cela a été le cas récemment pour BreachForum. Un takedown peut également prendre la forme d’un blocage technique de l’accès aux infrastructures via des technique comme le DNS sinkholing qui peut être mis en place au niveau des fournisseurs d’accès internet ou des registars. Il peut enfin prendre une forme purement légale avec l’arrestation et la poursuite pénale des têtes pensantes d’un groupe de cybercriminels.

TOP

FAMILLES DE MALWARE (%)

TOP

CATÉGORIES DE MENACES (%)

À propos du cyber threats barometer

Malwares, vulnérabilités critiques, attaques persistantes avancées, secteurs particulièrement visés, signaux faibles de menaces émergentes… Ce n’est un secret pour personne, la connaissance de son environnement cyber est un facteur clé pour la sécurité d’une entreprise. Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par Gatewatcher CTI, notre plateforme de Cyber Threat Intelligence.

Les moteurs automatisés de collecte, d’analyse et de corrélation de Gatewatcher CTI sont alimentés en permanence par plus de quatre milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, dark et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.

Demander une démo

Cyber Threats Barometer : Votre résumé mensuel des cyber-menaces vues par les analystes CTI de Gatewatcher
Deco Cta Demo