Barometer
Indicateurs de compromission (IOCs) identifiés
Rapports de compromission identifiés (regroupement d’IoCs)
ECLAIRAGE DU MOIS
Ce mois-ci nous nous intéressons à Lockbit, l’un des ransomwares les plus dangereux.
Connu dans le monde entier pour la rapidité de ses attaques, Lockbit possède une capacité unique qui lui permet de se diffuser automatiquement dans un système informatique. Cette capacité d’auto-propagation est couplée au fait qu’il peut réaliser différentes étapes de l’attaque en même temps.
Lockbit est un Ransomware-as-a-Service (ou RaaS), ce qui signifie qu’il peut être acheté ou loué sur le dark web. Les bénéfices d’une attaque réussie sont partagés entre les développeurs et les affiliés. Le ransomware constitut généralement la phase finale d’une cyberattaque, une fois que le pirate a compromis le système et pris pied dans l’entreprise.
Lockbit est entré en scène en septembre 2019 sous le nom initial ABCD, car il chiffrait les fichiers et renommait l’extension en “.abcd”. Il a ensuite changé l’extension en “.lockbit” qui est désormais générée pendant l’exécution.
LockBit est un exemple de ransomware à “double menace”, ce qui signifie que non seulement il menace de supprimer les fichiers confidentiels si la victime ne paie pas la rançon, mais il menace également de publier les fichiers en ligne sur le dark web. LockBit demande aujourd’hui une rançon d’environ 40 000 USD par organisation en moyenne. Il a ciblé des entreprises de premier plan dans le monde entier, aux États-Unis, en Europe, en Inde et en Chine mais, fait intéressant, jamais en Russie.
En mars 2022, moins d’un an après l’apparition de LockBit 2.0, des chercheurs et des chasseurs de menaces ont observé des vagues d’une nouvelle variante qu’ils ont appelée LockBit 3.0, alias “LockBit Black”. Les chercheurs ont souligné que certaines parties du code de LockBit 3.0 semblent être empruntées au ransomware BlackMatter, d’où le surnom de LockBit Black.
Le ransomware a refait parler de lui à la fin du mois de juin dernier, car ses auteurs ont lancé un programme de “bug bounty” prévoyant des récompenses allant de 1 000 à 1 million de dollars (USD) pour la détection de failles et de faiblesses dans son portfolio. Cette nouvelle itération place LockBit à l’avant-garde du paysage des ransomwares et témoigne également de l’utilisation croissante et de la sophistication accrue du modèle de ransomware-as-a-service (RaaS).
TOP
TOP
DÉFINITION DU MOIS
Le Command & Control, aussi abrégé “C2” ou “C & C” est un procédé utilisé par les cybercriminels pour conserver les communications avec les systèmes infectés au sein d’un réseau cible.
Une fois le logiciel malveillant introduit au sein d’un réseau, la machine compromise envoie un signal au serveur de l’attaquant en quête de sa prochaine instruction. L’ordinateur infecté exécute les commandes du serveur C2 et peut installer des logiciels supplémentaires.
L’établissement d’un lien de commande et de contrôle est souvent l’objectif principal des logiciels malveillants. L’attaquant, qui dispose du contrôle total de l’ordinateur de la victime, peut exécuter n’importe quel code qui se propage généralement à d’autres ordinateurs, créant ainsi un réseau de machines infectées (botnet) qui vont elles-mêmes communiquer avec le serveur de Command & Control. Les attaquants tentent généralement d’imiter le trafic normal et attendu pour se fondre dans la masse et éviter la détection.
Il existe de nombreuses façons pour un cybercriminel d’établir un système de commande et de contrôle, 16 techniques sont référencées par l’organisation MITRE ATT&CK (organisation dont nous avons parlé au mois de mai). Parmi les outils de C2 les plus communs, Cobalt Strike, destiné aux équipes de pentesting, fournit la possibilité d’émuler des actions post-exploitation, comme la mise en place de balises permettant la connexion vers des serveurs C2.
TOP
TOP
A PROPOS DU CYBER THREATS BAROMETER
Malwares, vulnérabilités zero-day, attaques persistantes avancées, industries et secteurs particulièrement visés, signaux faibles de menaces émergentes…Ce n’est un secret pour personne, la connaissance de son adversaire est un facteur clé pour la sécurité d’une entreprise. Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par Gatewatcher CTI, notre plateforme de Cyber Threat Intelligence.rnrnLes moteurs automatisés de collecte, d’analyse et de corrélation de Gatewatcher CTI sont alimentés en permanence par plus de trois milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, dark et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.