Mai 2022

Barometer

Les cyber-menaces des 30 derniers jours vues par les analystes CTI de Gatewatcher
135 869

Indicateurs de compromission (IOCs) identifiés

49 793

Rapports de compromission identifiés (regroupement d’IoCs)

ECLAIRAGE DU MOIS


Ce mois-ci, faisons un focus sur REvil qui refait parler de lui depuis quelques semaines. Également connu sous le nom de Sodinokibi, REvil (contraction de Ransomware et Evil) est un logiciel malveillant qui donne son nom à un groupe de cybercriminels russophones.

À l’image de Conti dont nous avons parlé au mois d’avril, l’organisation REvil était connue pour son modèle de Ransomware-as-a-Service (RaaS). En raison de la ressemblance de leur code, le groupe semblait être la succession de GandCrab, un RaaS responsable de plus de 300 millions d’euros de perte, et de l’infection de plus de 500 000 victimes à travers le monde avant son arrêt volontaire fin 2019.

REvil/Sodinokibi est apparu pour la première fois en avril 2019 et a rapidement gagné en popularité, au point de devenir l’un des logiciels malveillants les plus signalés à l’ANSSI sur l’année 2020. Un coup d’arrêt a été porté à l’organisation fin octobre 2021 suite à la mise hors service de leur infrastructure par une opération transnationale, impliquant notamment le FBI et les services secrets américains. Le bureau de renseignements russe a ensuite procédé en janvier 2022 à l’arrestation de membres présumés de REvil.

Cependant, depuis début avril 2022, le groupe refait parler de lui. Des chercheurs en sécurité ont trouvé des indices de sa résurrection : le site internet ‘Happy Blog’ est apparu sur une plateforme de liens BitTorrent russe et redirige vers la page qu’utilisait REvil pour publier des informations sur ses cibles. La liste de victimes a d’ailleurs été mise à jour avec deux nouveaux noms, dont le groupe Oil India qui a confirmé avoir été la cible d’un rançongiciel le 10 avril. Le retour du groupe original n’est cependant pas confirmé officiellement.

2205 Cve Fr

TOP

vulnérabilités critiques [CVE]
2205 Mw Fr

TOP

familles de malwares

DÉFINITION DU MOIS


MITRE ATT&CK qui signifie “MITRE Adversarial Tactics, Techniques, and Common Knowledge” est un référentiel (https://attack.mitre.org/) créé en 2013 par MITRE, une organisation à but non lucratif américaine.

Il s’agit d’une base de connaissances qui concentre les TTP (pour Tactics, Techniques & Procedures) utilisées par les acteurs malveillants. Ces dernières sont rangées par catégories qui représentent les étapes de la killchain. Chaque tactique regroupe plusieurs techniques, documentées par une page du référentiel, avec un identifiant, une définition et une liste de contre-mesures.

Il existe trois matrices de tactiques qui contiennent des techniques spécifiques aux plateformes concernées : entreprise, pour les OS et outils classiques d’entreprise (Windows, Linux et/ou MacOS), Mobile pour les plateformes android et IOS, et ICS (Industrial Control Systems) pour les infrastructures de production industrielle. Cette séparation a pour but de décrire plus efficacement chaque cas de figure, car une attaque se déroule différemment selon la plateforme

Le référentiel MITRE a pour objectif de faciliter l’analyse des malwares, l’écriture et la lecture des documents techniques en fournissant une base commune et normalisée pour catégoriser les étapes et techniques utilisées dans n’importe quelle cyber-attaque, évaluant leur gravité, leur complexité technique. Le référentiel simplifie aussi la mise en place de stratégies de défense et de détection en mettant en exergue les failles exploitées des systèmes.

2205 Tgt Fr

TOP

secteurs d’activité visés
2205 Threats Fr

TOP

catégories de menaces

A PROPOS DU CYBER THREATS BAROMETER


Malwares, vulnérabilités zero-day, attaques persistantes avancées, industries et secteurs particulièrement visés, signaux faibles de menaces émergentes…Ce n’est un secret pour personne, la connaissance de son adversaire est un facteur clé pour la sécurité d’une entreprise. Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par Gatewatcher CTI, notre plateforme de Cyber Threat Intelligence.rnrnLes moteurs automatisés de collecte, d’analyse et de corrélation de Gatewatcher CTI sont alimentés en permanence par plus de trois milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, dark et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.