Août 2022

Barometer

Les cyber-menaces des 30 derniers jours vues par les analystes CTI de Gatewatcher
135 869

Indicateurs de compromission (IOCs) identifiés

49 793

Rapports de compromission identifiés (regroupement d’IoCs)

2208 Ioc Fr

ECLAIRAGE DU MOIS


Ce mois-ci nous nous intéressons à Lockbit, l’un des ransomwares les plus dangereux.

Connu dans le monde entier pour la rapidité de ses attaques, Lockbit possède une capacité unique qui lui permet de se diffuser automatiquement dans un système informatique. Cette capacité d’auto-propagation est couplée au fait qu’il peut réaliser différentes étapes de l’attaque en même temps.

Lockbit est un Ransomware-as-a-Service (ou RaaS), ce qui signifie qu’il peut être acheté ou loué sur le dark web. Les bénéfices d’une attaque réussie sont partagés entre les développeurs et les affiliés. Le ransomware constitut généralement la phase finale d’une cyberattaque, une fois que le pirate a compromis le système et pris pied dans l’entreprise.

Lockbit est entré en scène en septembre 2019 sous le nom initial ABCD, car il chiffrait les fichiers et renommait l’extension en “.abcd”. Il a ensuite changé l’extension en “.lockbit” qui est désormais générée pendant l’exécution.

LockBit est un exemple de ransomware à “double menace”, ce qui signifie que non seulement il menace de supprimer les fichiers confidentiels si la victime ne paie pas la rançon, mais il menace également de publier les fichiers en ligne sur le dark web. LockBit demande aujourd’hui une rançon d’environ 40 000 USD par organisation en moyenne. Il a ciblé des entreprises de premier plan dans le monde entier, aux États-Unis, en Europe, en Inde et en Chine mais, fait intéressant, jamais en Russie.

En mars 2022, moins d’un an après l’apparition de LockBit 2.0, des chercheurs et des chasseurs de menaces ont observé des vagues d’une nouvelle variante qu’ils ont appelée LockBit 3.0, alias “LockBit Black”. Les chercheurs ont souligné que certaines parties du code de LockBit 3.0 semblent être empruntées au ransomware BlackMatter, d’où le surnom de LockBit Black.

Le ransomware a refait parler de lui à la fin du mois de juin dernier, car ses auteurs ont lancé un programme de “bug bounty” prévoyant des récompenses allant de 1 000 à 1 million de dollars (USD) pour la détection de failles et de faiblesses dans son portfolio. Cette nouvelle itération place LockBit à l’avant-garde du paysage des ransomwares et témoigne également de l’utilisation croissante et de la sophistication accrue du modèle de ransomware-as-a-service (RaaS).

2208 Cve Fr

TOP

vulnérabilités critiques [CVE]
2208 Mw Fr

TOP

familles de malwares

DÉFINITION DU MOIS


Le Command & Control, aussi abrégé “C2” ou “C & C” est un procédé utilisé par les cybercriminels pour conserver les communications avec les systèmes infectés au sein d’un réseau cible.

Une fois le logiciel malveillant introduit au sein d’un réseau, la machine compromise envoie un signal au serveur de l’attaquant en quête de sa prochaine instruction. L’ordinateur infecté exécute les commandes du serveur C2 et peut installer des logiciels supplémentaires.

L’établissement d’un lien de commande et de contrôle est souvent l’objectif principal des logiciels malveillants. L’attaquant, qui dispose du contrôle total de l’ordinateur de la victime, peut exécuter n’importe quel code qui se propage généralement à d’autres ordinateurs, créant ainsi un réseau de machines infectées (botnet) qui vont elles-mêmes communiquer avec le serveur de Command & Control. Les attaquants tentent généralement d’imiter le trafic normal et attendu pour se fondre dans la masse et éviter la détection.

Il existe de nombreuses façons pour un cybercriminel d’établir un système de commande et de contrôle, 16 techniques sont référencées par l’organisation MITRE ATT&CK (organisation dont nous avons parlé au mois de mai). Parmi les outils de C2 les plus communs, Cobalt Strike, destiné aux équipes de pentesting, fournit la possibilité d’émuler des actions post-exploitation, comme la mise en place de balises permettant la connexion vers des serveurs C2.

2208 Tgt Fr

TOP

secteurs d’activité visés
2208 Threats Fr

TOP

catégories de menaces

A PROPOS DU CYBER THREATS BAROMETER


Malwares, vulnérabilités zero-day, attaques persistantes avancées, industries et secteurs particulièrement visés, signaux faibles de menaces émergentes…Ce n’est un secret pour personne, la connaissance de son adversaire est un facteur clé pour la sécurité d’une entreprise. Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par Gatewatcher CTI, notre plateforme de Cyber Threat Intelligence.rnrnLes moteurs automatisés de collecte, d’analyse et de corrélation de Gatewatcher CTI sont alimentés en permanence par plus de trois milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, dark et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.