Barometer
Indicateurs de compromission (IOCs) identifiés
Rapports de compromission identifiés (regroupement d’IoCs)
ECLAIRAGE DU MOIS
L’éditeur de logiciel Progress Software est au cœur de l’actualité depuis début juin après que non pas une, mais trois CVE critiques (CVE-2023-34362, CVE-2023-35036 et CVE-2023-35708) aient été publiées sur son outil de transfert de fichiers MOVEit en l’espace de deux semaines. Chacune d’entre elles est une vulnérabilité par injection SQL qui permet un accès sans authentification aux bases de données MOVEit exposées publiquement (T1190).
La CVE-2023-34362 a largement été exploitée dans le cadre d’une campagne pour y déployer le ransomware Clop, associée au groupe du même nom dont le modèle économique est le chiffrement des données contre rançon ainsi que le Ransomware as a Service.
Par l’intermédiaire de son site sur le dark net Clop a dévoilé la liste de toutes ses victimes parmi lesquelles on retrouve des noms comme PWC et Sony ainsi que de nombreuses entreprises de services financiers et juridiques. En revanche, comme cela a déjà été constaté chez d’autres Threat Actors comme LockBit, le groupe condamne le chiffrement des données de services et établissements publics de santé.
Bien que des correctifs aient rapidement été déployés par Progress Software pour les trois CVE, il est peu probable que les quelques milliers d’instances MOVEit publiquement exposées rapportées par Censys soient aujourd’hui toutes mises-à-jour. L’entreprise de sécurité relève aussi une baisse du nombre d’hôtes MOVEit exposés depuis l’annonce des vulnérabilités ce qui pourrait indiquer une mise hors ligne de ces services.
TOP
TOP
DÉFINITION DU MOIS
Le ransomware as a service (RAAS) , est un modèle économique utilisé dans le cybercrime qui consiste à acheter un service auprès d’une entreprise criminelle afin d’effectuer des attaques par rançongiciel. On distingue 2 profils de criminels dans ces organisations :
L’opérateur : personne en charge de toute la partie développement du ransomware et de la MCO (Maintien en Condition Opérationnelle) des infrastructures d’attaques. Il assure également le service après-vente et peut intervenir pour aider l’affilié dans le déploiement ou la négociation de la rançon. Ce dernier peut également proposer un service de mise à disposition d’identifiants ayant fuités afin de faciliter la primo infection.
L’affilié : Il s’agit du client, il va payer pour avoir accès au ransomware, et de l’attaquant. En général c’est lui qui est en charge de la partie personnalisation du ransomware, compromission des actifs de la victime, gestion des négociations…etc.
Les services fournis par ces entreprises cybercriminelles sont généralement proposés sous les formes suivantes :
• Souscription au mois ;
• Programme affilié : souscription au mois avec reversement d’une partie de la rançon à l’opérateur (ex : lockbit)
• Licence à usage unique : une seule utilisation du ransomware
• Un programme de partage des profits réalisés par l’affilié.
Quelque soit le modèle choisi, ce qui pourrait s’apparenter à un règlement intérieur est obligatoire à respecter pour tous les affiliés. Il inclut entre autres, les caractéristiques et capacités du ransomware, un code de conduite pour les affiliés et l’interdiction de cibler certains domaines et/ou pays. On peut donc voir le RaaS comme une sorte de service d’achat/location de logiciels malveillants avec ses propres contrats et ses propres règles qui en font une division particulière du cybercrime.
TOP
TOP
A PROPOS DU CYBER THREATS BAROMETER
Malwares, vulnérabilités zero-day, attaques persistantes avancées, industries et secteurs particulièrement visés, signaux faibles de menaces émergentes…Ce n’est un secret pour personne, la connaissance de son adversaire est un facteur clé pour la sécurité d’une entreprise. Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par Gatewatcher CTI, notre plateforme de Cyber Threat Intelligence.rnrnLes moteurs automatisés de collecte, d’analyse et de corrélation de Gatewatcher CTI sont alimentés en permanence par plus de trois milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, dark et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.