Barometer

Le 21 septembre dernier, le builder de LockBit 3.0 a été victime d’une divulgation.

Nous avions fait en août dernier un éclairage sur la version 3, sorti en juin dernier, de ce ransomware très médiatisé. La raison de ce leak serait liée à un contentieux entre un ancien développeur du rançongiciel et la « direction » de LockBit. S’il s’agit d’un coup dur pour ce groupe malveillant, il l’est également pour les entreprises. En effet, les opérateurs malveillants ainsi que les débutants dans le milieu ont maintenant accès à un ransomware figurant parmi les plus dangereux et sophistiqués de sa catégorie, le générateur permettant de créer rapidement un exécutable avec chiffreur performant grâce à 4 fichiers générés par un script batch (un générateur de clé de chiffrement, le builder, un fichier de configuration, et le script batch).

Le groupe Bl00Dy a déjà commencé à l’utiliser en attaquant une entité ukrainienne. Le fichier de configuration particulièrement riche de LockBit 3.0, permettant entre autres, de modifier la note de rançon, le serveur de command & control, les processus et services à arrêter, etc., il ne fallait pas attendre longtemps avant qu’un groupe l’utilise.

Ce n’est pas la première fois qu’on constructeur de rançongiciel est victime d’une divulgation malveillante de ce type exploitée de façon opportuniste par d’autres acteurs concurrents. En juin 2021, cela avait été le cas pour Babuk, un ransomware ciblant les machines Windows et VMWare ESXi. En mars dernier, le groupe Conti avait aussi fait l’objet d’une fuite de son code source, rapidement exploité par le groupe de hackers russe NB65.

Cette fuite n’aurait donc en rien freiné les actions du groupe comme nous avons pu le voir avec les exfiltrations de données du Centre Hospitalier de Corbeil-Essonnes, le 23 septembre dernier.

L’Open Source INTelligence (ou OSINT) est l’acte de collecte et d’analyse de données publiquement disponible à des fins de renseignement (en français: renseignement d’origine sources ouvertes, ROSO).

Parce qu’une bonne appréhension des acteurs et des menaces en présence sont des éléments primordiaux à l’élaboration d’une stratégie d’attaque ou de défense efficace, l’OSINT est aujourd’hui un outil fondamental dans le champ de la cybersécurité.

Les sources de l’OSINT majoritairement utilisées sont les médias (télévision, journaux…), Internet (réseaux sociaux, forum, deep et dark web, blog, …), les données commerciales, la littérature grise (rapport techniques, prépublication, brevet…) ou encore les données gouvernementales.

Dans ce cadre, l’OSINT peut être utilisé afin de mesurer son exposition au risque, via les tests d’intrusion. Il s’agit alors d’évaluer le potentiel délétère des données exposées à un attaquant extérieur (qui voudrait, notamment, avoir recours à de l’ingénierie sociale).

Un autre objectif du recours à l’OSINT est d’obtenir une meilleure connaissance sur les cybercriminels, de leur mode d’action et de leurs cibles de prédilection en association avec la Cyber Threat Intelligence. Ici l’objet est d’anticiper au mieux les différents incidents, voire de s’en prémunir, en permettant une détection aux prémices de l’attaque. Dans tous les cas l’OSINT ouvre la voie à des démarches mesurées et proactives face a la menace cyber.

Aujourd’hui, le principal défi associé à l’OSINT est peut-être la gestion de l’écrasante quantité de données publiques disponibles. Aussi, la discipline tend à imposer une automatisation de la collecte et de l’analyse ainsi que le développement d’outils de visualisation de ses données.

Malwares, vulnérabilités zero-day, attaques persistantes avancées, industries et secteurs particulièrement visés, signaux faibles de menaces émergentes…Ce n’est un secret pour personne, la connaissance de son adversaire est un facteur clé pour la sécurité d’une entreprise. Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par Gatewatcher CTI, notre plateforme de Cyber Threat Intelligence.rnrnLes moteurs automatisés de collecte, d’analyse et de corrélation de Gatewatcher CTI sont alimentés en permanence par plus de trois milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, dark et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.