Barometer
Indicateurs de compromission (IOCs) identifiés
Rapports de compromission identifiés (regroupement d’IoCs)
ECLAIRAGE DU MOIS
Apparu en 2007 sous les appellations QakBot ou Pinkslipbot Qbotest un cheval de Troie utilisé pour former un botnet.
Les botnets sont caractérisés par un réseau de machines infectées connectées à internet qui communiquent avec un ou plusieurs serveurs C&C, permettant généralement de lancer des attaques coordonnées à grande échelle, comme du déni de service distribué (DDOS).
Dans le cas de Qbot, des segments du réseau de machines compromises étaient proposés à d’autres groupes d’acteurs malveillants via des plateformes d’échanges illégales. Le réseau servait alors de vecteurs d’infection initial, notamment pour les opérateurs de rançongiciels qui s’affranchissent alors de la première étape d’infection et peuvent se concentrer sur le déploiement à distance du code malveillant et maximiser les gains financiers sur une durée de temps plus courte. Parmi ces opérateurs malveillants qui ont collaboré avec les acteurs de Qbot, on retrouve notamment les groupes Conti, ProLock, REvil et Black Basta.
Au cours de ses seize longues années d’activité, Qbot a principalement été distribué via des campagnes de phishing, mais il a également été utilisé comme charge utile par d’autres malwares comme Emotet. Outre l’intérêt d’avoir un accès direct au sein d’entreprises compromises, Qbot permettait aussi le vol d’identifiants Windows pour faciliter la progression des attaquants au cœur des réseaux, le vol de données bancaires et évidemment facilitait le déploiement d’autres charges utiles.
Le 26 août dernier, une opération internationale conduite par les États-Unis et des pays européens, dont l’Allemagne et la France, a permis le démantèlement du réseau de machines infectées par Qbot en redirigeant le trafic de ces machines vers des serveurs sous le contrôle du FBI, les empêchant ainsi de communiquer avec la cinquantaine de serveurs malveillants opérés par les attaquants. Cette opération a libéré plus de 700.000 machines captives à travers le monde.
Cependant, le démantèlement du réseau Qbot n’implique pas forcément la disparition du groupe d’attaquants derrière le malware, et il n’est pas exclu qu’ils réapparaissent, peut-être sous un nouveau nom.
TOP
TOP
DÉFINITION DU MOIS
Au cours des dernières semaines, plusieurs vulnérabilités ont été publiées partageant un point commun : leur potentiel d’exploitation pour mener des attaques de type Exécution de Code à Distance (RCE).
Lorsqu’une RCE est exploitée, un attaquant peut injecter et exécuter du code malveillant à distance sur le système ciblé. Cette intrusion lui confère la capacité de prendre le contrôle du système, d’accéder à des données sensibles, de compromettre d’autres systèmes connectés, ou encore de causer d’autres types de dommages.
Il arrive parfois, qu’il ne soit pas nécessaire de disposer d’identifiants pour exploiter la vulnérabilité. On parle alors de RCE non authentifiées (unauthenticated RCE), cela signifie que l’attaquant peut exploiter la faille à distance sans avoir besoin de s’authentifier ou de fournir des informations d’identification. Cette caractéristique rend ces types de RCE particulièrement dangereux, car un attaquant peut potentiellement exploiter la vulnérabilité à distance sans aucune restriction d’accès, facilitant ainsi grandement son attaque. C’est notamment cette catégorie de RCE qui a impacté les produits Ivanti, sur laquelle nous nous sommes penchés en août dernier, ainsi que les produits Juniper, pour lesquels nous avons rédigé un billet de blog dédié.
Les conséquences de ces attaques sont souvent dévastatrices. Les attaquants peuvent utiliser ces vulnérabilités pour installer des cryptominers, déployer des logiciels malveillants et/ou des rançongiciels pour extorquer des fonds, ou encore pour espionner et dérober des données confidentielles. Ces incidents entraînent des perturbations opérationnelles, des pertes financières importantes et menacent la confidentialité des informations, avec des répercussions graves pour les organisations ciblées.
TOP
TOP
A PROPOS DU CYBER THREATS BAROMETER
Malwares, vulnérabilités zero-day, attaques persistantes avancées, industries et secteurs particulièrement visés, signaux faibles de menaces émergentes…Ce n’est un secret pour personne, la connaissance de son adversaire est un facteur clé pour la sécurité d’une entreprise.
Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par Gatewatcher CTI, notre plateforme de Cyber Threat Intelligence.
Les moteurs automatisés de collecte, d’analyse et de corrélation de Gatewatcher CTI sont alimentés en permanence par plus de trois milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, dark et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.