Mai 2022

Les cyber-menaces des 30 derniers jours vues par les analystes CTI de Gatewatcher

Indicateurs de compromission (IOCs) identifiés

0

Rapports de compromission identifiés (regroupement d'IoCs)

0

Eclairage du mois

Ce mois-ci, faisons un focus sur REvil qui refait parler de lui depuis quelques semaines. Également connu sous le nom de Sodinokibi, REvil (contraction de Ransomware et Evil) est un logiciel malveillant qui donne son nom à un groupe de cybercriminels russophones.

À l’image de Conti dont nous avons parlé au mois d’avril, l’organisation REvil était connue pour son modèle de Ransomware-as-a-Service (RaaS). En raison de la ressemblance de leur code, le groupe semblait être la succession de GandCrab, un RaaS responsable de plus de 300 millions d’euros de perte, et de l’infection de plus de 500 000 victimes à travers le monde avant son arrêt volontaire fin 2019.

REvil/Sodinokibi est apparu pour la première fois en avril 2019 et a rapidement gagné en popularité, au point de devenir l’un des logiciels malveillants les plus signalés à l’ANSSI sur l’année 2020. Un coup d’arrêt a été porté à l’organisation fin octobre 2021 suite à la mise hors service de leur infrastructure par une opération transnationale, impliquant notamment le FBI et les services secrets américains. Le bureau de renseignements russe a ensuite procédé en janvier 2022 à l’arrestation de membres présumés de REvil.

Cependant, depuis début avril 2022, le groupe refait parler de lui. Des chercheurs en sécurité ont trouvé des indices de sa résurrection : le site internet ‘Happy Blog’ est apparu sur une plateforme de liens BitTorrent russe et redirige vers la page qu’utilisait REvil pour publier des informations sur ses cibles. La liste de victimes a d’ailleurs été mise à jour avec deux nouveaux noms, dont le groupe Oil India qui a confirmé avoir été la cible d’un rançongiciel le 10 avril. Le retour du groupe original n’est cependant pas confirmé officiellement.

TOP

vulnérabilités critiques [CVE]

TOP

familles de malwares

Définition du mois

MITRE ATT&CK qui signifie « MITRE Adversarial Tactics, Techniques, and Common Knowledge » est un référentiel (https://attack.mitre.org/) créé en 2013 par MITRE, une organisation à but non lucratif américaine.

Il s’agit d’une base de connaissances qui concentre les TTP (pour Tactics, Techniques & Procedures) utilisées par les acteurs malveillants. Ces dernières sont rangées par catégories qui représentent les étapes de la killchain. Chaque tactique regroupe plusieurs techniques, documentées par une page du référentiel, avec un identifiant, une définition et une liste de contre-mesures.

Il existe trois matrices de tactiques qui contiennent des techniques spécifiques aux plateformes concernées : entreprise, pour les OS et outils classiques d’entreprise (Windows, Linux et/ou MacOS), Mobile pour les plateformes android et IOS, et ICS (Industrial Control Systems) pour les infrastructures de production industrielle. Cette séparation a pour but de décrire plus efficacement chaque cas de figure, car une attaque se déroule différemment selon la plateforme

Le référentiel MITRE a pour objectif de faciliter l’analyse des malwares, l’écriture et la lecture des documents techniques en fournissant une base commune et normalisée pour catégoriser les étapes et techniques utilisées dans n’importe quelle cyber-attaque, évaluant leur gravité, leur complexité technique. Le référentiel simplifie aussi la mise en place de stratégies de défense et de détection en mettant en exergue les failles exploitées des systèmes.

TOP

secteurs visés

TOP

catégories de menaces

A propos du Cyber Threat Barometer

Malwares, vulnérabilités zero-day, attaques persistantes avancées, industries et secteurs particulièrement visés, signaux faibles de menaces émergentes…Ce n’est un secret pour personne, la connaissance de son adversaire est un facteur clé pour la sécurité d’une entreprise.

Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par LastInfoSec, la plateforme Cyber Threat Intelligence (CTI) de Gatewatcher.

Les moteurs automatisés de collecte, d’analyse et de corrélation de LastInfoSec sont alimentés en permanence par plus de trois milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, darknet et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.