Mars 2022

Barometer

Les cyber-menaces des 30 derniers jours vues par les analystes CTI de Gatewatcher
135 869

Indicateurs de compromission (IOCs) identifiés

49 793

Rapports de compromission identifiés (regroupement d’IoCs)

ECLAIRAGE DU MOIS


Coup de projecteur ce mois- ci sur Emotet.

Avec 131 496 IoCs, Emotet a été le malware le plus analysé sur le mois de février par la plateforme LastInfoSec.Identifié depuis 2014, il s’agit d’un « loader » de code malveillant qui fait principalement l’objet d’une utilisation « Malware as a Service » en amont d’autres malwares (TrickBot, Qakbot,..) ou d’outils offensifs tels que Cobalt Strike. En janvier 2021, une action des forces de l’ordre, coordonnée par Europol, a permis d’interrompre Emotet, son infrastructure et d’arrêter certains de ses membres.

Les dernières attaques d’Emotet suivent le schéma suivant : une archive ZIP contenant un ou plusieurs fichiers XLS (ou directement un fichier XLS en pièce jointe) avec macro qui va procéder au téléchargement d’un fichier DLL directement en VBA ou en passant par Powershell. Emotet communique ensuite en HTTPs avec son serveur Command & Control à l’aide d’un certificat auto-signé et en utilisant la cryptographie sur les courbes elliptiques

Depuis son retour, en novembre dernier, Emotet est très présent via des campagnes de courriers indésirables. Ces dernières utilisent les macros Excel 4.0 (désactivées par défaut pour les utilisateurs de Microsoft 365) en exploitant notamment la fonctionnalité “Very Hidden” qui permet de cacher des onglets afin que ces derniers soient complètement invisibles pour l’utilisateur ainsi que l’option “auto open” des macros qui permet d’exécuter le malware à l’ouverture du fichier.

2203 Cve Fr

TOP

vulnérabilités critiques [CVE]
2203 Mw Fr

TOP

familles de malwares

DÉFINITION DU MOIS


Une CVE (Common Vulnerabilities and Exposures) fait référence à une faille de sécurité (par exemple : CVE-2021-44228) présente dans une liste officielle et publique de vulnérabilité.

Chaque faille de sécurité y figure sous un nom CVE commun et normalisé (intégrant l’année et l’ordre dans lequel ils ont été inclus dans la liste cette année-là). L’objectif de ce système de références est d’aider à partager les données entre les différentes bases de données de vulnérabilités et les outils de sécurité et de simplifier le suivi et la correction des failles de sécurité des produits pour les professionnels de la sécurité des systèmes d’information.

Cette liste de références est subventionnée par le CISA (Cybersecurity and Infrastructure Security Agency) et supervisée par l’organisme MITRE depuis septembre 1999.

2203 Tgt Fr

TOP

secteurs d’activité visés
2203 Threats Fr

TOP

catégories de menaces

A PROPOS DU CYBER THREATS BAROMETER


Malwares, vulnérabilités zero-day, attaques persistantes avancées, industries et secteurs particulièrement visés, signaux faibles de menaces émergentes…Ce n’est un secret pour personne, la connaissance de son adversaire est un facteur clé pour la sécurité d’une entreprise. Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par Gatewatcher CTI, notre plateforme de Cyber Threat Intelligence.rnrnLes moteurs automatisés de collecte, d’analyse et de corrélation de Gatewatcher CTI sont alimentés en permanence par plus de trois milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, dark et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.