Barometer
Indicateurs de compromission (IOCs) identifiés
Rapports de compromission identifiés (regroupement d’IoCs)
ECLAIRAGE DU MOIS
Ce mois-ci, revenons sur Conti, qui a récemment défrayé l’actualité.
Ce groupe cybercriminel basé en Russie et actif depuis 2019 est surtout connu pour ses activités de type « Ransomware as a service » (RaaS).
En réponse à l’attaque de l’Ukraine par la Russie en février 2022, le groupe Conti a publié une annonce dans laquelle il proclame soutenir la Russie dans le conflit. Peu de temps après la publication du message, le 27 février 2022, un chercheur en sécurité pro Ukrainien a mis en ligne via le compte Twitter @ContiLeaks des archives contenant des communications entre les membres de Conti ainsi que des captures d’écran, du code source et de la documentation interne à Conti.
L’analyse des données dévoilées met en évidence le fonctionnement du groupe. Celui-ci s’organise comme une entreprise hi-tech classique, avec des équipes, des managers, et de la communication directe entre ces groupes. Les équipes bénéficient de formations avec des supports textuels ou vidéo qui traitent notamment de techniques d’obfuscation (vmprotect-2, ADVobfuscator), d’escalade de privilèges (LPE, UAC override) ou de détection de sandbox (adresses mac, cpuid, …). Les documents ayant fuité décrivent une organisation structurée avec des processus : assignation et suivi d’exécution des taches, report d’une erreur, outils et configuration à utiliser, etc.
Dans le but de tester leurs produits en situation réelle, les équipes de Conti ont également mis en place des moyens conséquents pour se procurer du matériel et des solutions logicielles de détection émanant des principaux acteurs cybersécurité du marché afin d’améliorer la « qualité » et la performance des prochaines attaques.
Malgré l’ampleur de cette fuite, Conti semble néanmoins avoir peu souffert : Toujours en activité, le groupe a remplacé les serveurs exposés et a d’ores et déjà fait de nouvelles victimes.
TOP
TOP
DÉFINITION DU MOIS
Le Traffic Light Protocol (TLP) est un protocole conçu pour l’envoi et l’encadrement du partage d’informations sensibles, créé par le National Infrastructure Security Coordination Centre (NISCC) du gouvernement britannique au début des années 2000. Ce protocole permet d’envoyer des données en y associant une couleur parmi quatre, qui correspondent chacune à un niveau de confidentialité. Cela permet à l’expéditeur de choisir à quel point ses informations peuvent, ou non, être partagées.
- Couleur rouge : les informations ne doivent pas être divulguées, elles sont réservées aux destinataires.
- Couleur orange : les informations sont destinées à un groupe de personne restreint.
- Couleur verte : les informations peuvent circuler au sein d’une communauté mais ne sont pas vouées à être diffusées sur internet.
- Couleur blanche : les informations peuvent être diffusées librement, à condition que la diffusion ne soit pas contraire à la loi.
Si un destinataire souhaite partager l’information au-delà de la couleur indiquée par l’expéditeur, il doit lui en faire la demande. Aussi, c’est à l’expéditeur de s’assurer que les destinataires comprennent le TLP et comment l’appliquer.
TOP
TOP
A PROPOS DU CYBER THREATS BAROMETER
Malwares, vulnérabilités zero-day, attaques persistantes avancées, industries et secteurs particulièrement visés, signaux faibles de menaces émergentes…Ce n’est un secret pour personne, la connaissance de son adversaire est un facteur clé pour la sécurité d’une entreprise. Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par Gatewatcher CTI, notre plateforme de Cyber Threat Intelligence.rnrnLes moteurs automatisés de collecte, d’analyse et de corrélation de Gatewatcher CTI sont alimentés en permanence par plus de trois milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, dark et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.