Octobre 2023

Barometer

Les cyber-menaces des 30 derniers jours vues par les analystes CTI de Gatewatcher
135 869

Indicateurs de compromission (IOCs) identifiés

49 793

Rapports de compromission identifiés (regroupement d’IoCs)

Ctb Oct23 Histogramme Fr

ECLAIRAGE DU MOIS


FIN12, également identifié sous les appellations « PISTACHE TEMPEST » ou « DEV-0237 », est un groupe cybercriminel renommé pour ses attaques élaborées par le biais de rançongiciels. Depuis sa première apparition en 2019, il cible principalement les grandes entreprises, surtout celles ayant la capacité de verser d’importantes rançons, tout en manifestant un intérêt croissant pour le secteur de la santé.
Ce groupe est suspecté d’être à l’origine de nombreuses attaques par rançongiciel en France entre 2020 et 2023. Ils auraient initialement utilisé les rançongiciels Ryuk (S0446) puis Conti (S0575), avant de distribuer Hive, BlackCat (S1068) et Nokoyawa. Leur arsenal comprendrait aussi les rançongiciels Play et Royal (S1073).
L’un des incidents les plus marquants attribués à FIN12 est l’attaque majeure contre le CHU de Brest le 9 mars 2023. Cet événement a contraint l’hôpital à fonctionner en mode dégradé pendant plusieurs semaines. Suite à cet incident, l’ANSSI a publié un rapport détaillé , mettant en lumière la menace que représente FIN12 pour les infrastructures vitales.
Selon ce rapport de l’ANSSI, la stratégie d’accès initial de FIN12 repose principalement sur l’exploitation d’identifiants valides, vraisemblablement acquis via des malwares spécialisés dans le vol d’informations, les infostealers. Le rapport souligne également une particularité de leur mode opératoire : l’utilisation conjointe des malwares SystemBC et Cobalt Strike (S0154), et le stockage systématique de leurs charges malveillantes dans le répertoire spécifique « C:\Users\Public\Music\ ». Par ailleurs, FIN12 se distingue par son choix de rapidement chiffrer le réseau ciblé sans se livrer à une exfiltration de données, optant ainsi pour une méthode d’extorsion simplifiée centrée sur le chiffrement.
Après la séparation du groupe CONTI en 2022, des éléments suggèrent que certains de ses membres influents ont rejoint FIN12. Ces anciens membres, forts de leur expertise, ont probablement contribué à l’évolution des tactiques de FIN12. L’adoption de rançongiciels tels que Hive et Royal, ainsi que les similitudes opérationnelles observées, renforcent cette hypothèse.

Ctb Oct23 Cve Fr

TOP

vulnérabilités critiques [CVE]
Ctb Oct23 Malware Fr

TOP

familles de malwares

DÉFINITION DU MOIS


Le Quishing, ou QR Code Phishing, est une branche du phishing utilisant les codes QR pour tromper une victime. Le but du quishing reste le même, seule la forme change. Plusieurs raisons peuvent pousser les cybercriminels à préférer le quishing au phishing :
• Premièrement, les antivirus ne reconnaissent les codes QR comme des images, et ne vérifient pas les liens à l’intérieur. Un email contenant un lien trompeur est généralement classé dans les spams, alors que si ce dernier contient un code QR malveillant, il est moins sujet à être considéré comme tel.
• Ensuite, cette méthode peut aussi être utilisée dans des lettres physiques. Les lettres n’éveillent que très peu de soupçons de nos jours, il est donc plus facile de tromper une victime en utilisant ce moyen.
• Avec l’augmentation de la sensibilisation aux risques des liens contenus dans les e-mails, l’aisance avec laquelle nous pouvons lire les codes QR diminue notre prudence à leur égard. Ainsi, les criminels trouvent plus d’efficacité à les exploiter, ce qui leur permet de duper plus aisément leurs victimes.
Pour se protéger du quishing, la méthode reste la même qu’avec le phishing : vérifier l’adresse d’expédition du mail, confirmez l’url après le scan du code QR et utilisez la double authentification pour protéger vos comptes même dans le cas où vous auriez donné vos identifiants par inadvertance à un site trompeur…

Ctb Oct23 Secteurs Fr

TOP

secteurs d’activité visés
Ctb Oct23 Menaces Fr

TOP

catégories de menaces

A PROPOS DU CYBER THREATS BAROMETER


Malwares, vulnérabilités zero-day, attaques persistantes avancées, industries et secteurs particulièrement visés, signaux faibles de menaces émergentes…Ce n’est un secret pour personne, la connaissance de son adversaire est un facteur clé pour la sécurité d’une entreprise. Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par Gatewatcher CTI, notre plateforme de Cyber Threat Intelligence. Les moteurs automatisés de collecte, d’analyse et de corrélation de Gatewatcher CTI sont alimentés en permanence par plus de trois milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, dark et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.