Juin 2022

Barometer

Les cyber-menaces des 30 derniers jours vues par les analystes CTI de Gatewatcher
135 869

Indicateurs de compromission (IOCs) identifiés

49 793

Rapports de compromission identifiés (regroupement d’IoCs)

ECLAIRAGE DU MOIS


Attardons-nous ce mois-ci sur Mirai qui a représenté près de 30% des détections de malware sur le mois de mai dans notre Cyber Threat Barometer.

Mirai est un malware, plus précisément un botnet, observé pour la première fois en 2016, qui infecte des machines IOT (routeurs, caméras, etc.) exposées sur internet.Il s’agit à l’origine du projet d’un étudiant à l’université Rutgers aux États-Unis, ayant pour but de lancer des attaques DDoS sur les serveurs de son université ou des serveurs Minecraft.

En octobre 2016, le code source de Mirai est publié sur internet dans le but de masquer son origine, il sera donc utilisé tel quel ou comme base pour beaucoup d’autres botnets. La montée en puissance de Mirai est constatée lors d’attaques ciblant des services tels que le site Krebs on Security, Dyn DNS, ou encore OVH avec un débit d’attaque dépassant le Térabit par seconde.

Une fois une machine infectée Mirai peut entreprendre les actions suivantes : suppression du binaire et changement du nom de processus pour échapper à la détection, blocage du redémarrage du terminal hôte, désactivation des services d’administration (Telnet, SSH), destruction d’éventuels autres malwares présents sur l’hôte, scan réseau pour trouver de nouvelles cibles.

Aujourd’hui, les malwares basés sur Mirai ont évolué, ils ont été réécrits pour pouvoir cibler toutes sortes de machines Linux exposées sur internet : IOT, mobile, Infrastructure cloud.

Parmi les variants on peut citer Satori, OMG ou plus récemment, Beastmode. Ces derniers ne changent pas le fonctionnement fondamental de Mirai et sont souvent des versions améliorées, qui embarquent plus de techniques. Ils utilisent, en plus des listes d’identifiants par défaut, des CVE récentes telles que Log4j pour se propager mais restent néanmoins reconnaissables par l’utilisation de techniques déjà présentes dans le code d’origine. Mirai et ses nombreux variants restent donc une menace active, en constante évolution.

2206 Cve Fr

TOP

vulnérabilités critiques [CVE]
2206 Mw Fr

TOP

familles de malwares

DÉFINITION DU MOIS


Structured Threat Information eXpression (STIX™) est un langage utilisé pour l’échange de renseignements sur les cybermenaces dans un format commun et standardisé.

Développé par MITRE et le comité technique OASIS Cyber Threat Intelligence, il s’agit d’un projet open-source dont l’idée est le partage d’informations complètes et riches sur les cybermenaces au-delà des cloisonnements organisationnels et communautaires. Souvent ces informations proviennent d’une structure ou d’un groupe spécifique, et ne sont pas conçues à l’origine pour un partage large et normalisé.

Les données au format STIX™ peuvent être visuellement représentées pour être analysées, ou bien être traitées par ordinateur en JSON.\

Les principaux objectifs du projet STIX™ sont :

  •  L’exhaustivité : fournir une couverture pour un maximum de cas d’usages.
  •  La flexibilité : mettre en avant les informations pertinentes et éviter les caractéristiques obligatoires.
  •  L’extensibilité : permettre l’élaboration d’extensions pour des domaines particuliers.
  •  L’automatisation : soutenir le développement du traitement automatisé par les machines.
  •  La lisibilité : pour être facilement compréhensible par l’utilisateur.

MITRE affirme qu’un projet communautaire comme STIX™, visant à la mise en place d’une cyber-veille efficace et mature, est essentiel pour unir les efforts contre les cyberattaquants et cybermenaces.

2206 Tgt Fr

TOP

secteurs d’activité visés
2206 Threats Fr

TOP

catégories de menaces

A PROPOS DU CYBER THREATS BAROMETER


Malwares, vulnérabilités zero-day, attaques persistantes avancées, industries et secteurs particulièrement visés, signaux faibles de menaces émergentes…Ce n’est un secret pour personne, la connaissance de son adversaire est un facteur clé pour la sécurité d’une entreprise. Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par Gatewatcher CTI, notre plateforme de Cyber Threat Intelligence.rnrnLes moteurs automatisés de collecte, d’analyse et de corrélation de Gatewatcher CTI sont alimentés en permanence par plus de trois milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, dark et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.