Avril 2022

Barometer

Les cyber-menaces des 30 derniers jours vues par les analystes CTI de Gatewatcher
135 869

Indicateurs de compromission (IOCs) identifiés

49 793

Rapports de compromission identifiés (regroupement d’IoCs)

ECLAIRAGE DU MOIS


Ce mois-ci, revenons sur Conti, qui a récemment défrayé l’actualité.

Ce groupe cybercriminel basé en Russie et actif depuis 2019 est surtout connu pour ses activités de type « Ransomware as a service » (RaaS).

En réponse à l’attaque de l’Ukraine par la Russie en février 2022, le groupe Conti a publié une annonce dans laquelle il proclame soutenir la Russie dans le conflit. Peu de temps après la publication du message, le 27 février 2022, un chercheur en sécurité pro Ukrainien a mis en ligne via le compte Twitter @ContiLeaks des archives contenant des communications entre les membres de Conti ainsi que des captures d’écran, du code source et de la documentation interne à Conti.

L’analyse des données dévoilées met en évidence le fonctionnement du groupe. Celui-ci s’organise comme une entreprise hi-tech classique, avec des équipes, des managers, et de la communication directe entre ces groupes. Les équipes bénéficient de formations avec des supports textuels ou vidéo qui traitent notamment de techniques d’obfuscation (vmprotect-2, ADVobfuscator), d’escalade de privilèges (LPE, UAC override) ou de détection de sandbox (adresses mac, cpuid, …). Les documents ayant fuité décrivent une organisation structurée avec des processus : assignation et suivi d’exécution des taches, report d’une erreur, outils et configuration à utiliser, etc.

Dans le but de tester leurs produits en situation réelle, les équipes de Conti ont également mis en place des moyens conséquents pour se procurer du matériel et des solutions logicielles de détection émanant des principaux acteurs cybersécurité du marché afin d’améliorer la « qualité » et la performance des prochaines attaques.

Malgré l’ampleur de cette fuite, Conti semble néanmoins avoir peu souffert : Toujours en activité, le groupe a remplacé les serveurs exposés et a d’ores et déjà fait de nouvelles victimes.

2204 Cve Fr

TOP

vulnérabilités critiques [CVE]
2204 Mw Fr

TOP

familles de malwares

DÉFINITION DU MOIS


Le Traffic Light Protocol (TLP) est un protocole conçu pour l’envoi et l’encadrement du partage d’informations sensibles, créé par le National Infrastructure Security Coordination Centre (NISCC) du gouvernement britannique au début des années 2000. Ce protocole permet d’envoyer des données en y associant une couleur parmi quatre, qui correspondent chacune à un niveau de confidentialité. Cela permet à l’expéditeur de choisir à quel point ses informations peuvent, ou non, être partagées.

  • Couleur rouge : les informations ne doivent pas être divulguées, elles sont réservées aux destinataires.
  • Couleur orange : les informations sont destinées à un groupe de personne restreint.
  • Couleur verte : les informations peuvent circuler au sein d’une communauté mais ne sont pas vouées à être diffusées sur internet.
  • Couleur blanche : les informations peuvent être diffusées librement, à condition que la diffusion ne soit pas contraire à la loi.

Si un destinataire souhaite partager l’information au-delà de la couleur indiquée par l’expéditeur, il doit lui en faire la demande. Aussi, c’est à l’expéditeur de s’assurer que les destinataires comprennent le TLP et comment l’appliquer.

2204 Tgt Fr

TOP

secteurs d’activité visés
2204 Threats Fr

TOP

catégories de menaces

A PROPOS DU CYBER THREATS BAROMETER


Malwares, vulnérabilités zero-day, attaques persistantes avancées, industries et secteurs particulièrement visés, signaux faibles de menaces émergentes…Ce n’est un secret pour personne, la connaissance de son adversaire est un facteur clé pour la sécurité d’une entreprise. Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par Gatewatcher CTI, notre plateforme de Cyber Threat Intelligence.rnrnLes moteurs automatisés de collecte, d’analyse et de corrélation de Gatewatcher CTI sont alimentés en permanence par plus de trois milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, dark et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.