SEKOIA THREAT INTELLIGENCE WEEKLY REPORT
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
30 01 07 FÉVRIER
MARS 2019 2020
TLP WHITE
SEKOIA
THREAT INTELLIGENCE
WEEKLY REPORT
TLP WHITE
RANSOMWARE :
LE MAL DU SIÈCLE
à-dire de verser une rançon dont le montant, dans le
Le 29 janvier, alors que le FIC 2020 battait son plein cas de Bouygues Construction, serait proche de la
à Lille, l’ANSSI publiait un rapport sur l’état de la dizaine de millions de dollars.
menace rançongiciel à l’encontre des entreprises
et des institutions. Hasard de l’histoire ou cruelle Cette attaque est caractéristique de l’évolution du
ironie du sort, le 30 janvier le groupe Bouygues “marché” également constatée par l’ANSSI : les ac-
Construction était victime d’une attaque en règle teurs cybercriminels se détournent des campagnes
lancée par le groupe cybercriminel TA2101 à l’aide de diffusion massives lancées tous azimuts et tou-
du ransomware Maze, aboutissant à la paralysie chant très majoritairement des particuliers pour
d’une partie de son Système d’Information. Ce se recentrer et se concentrer sur ce que l’Agence
dernier a été mis temporairement à l’arrêt le temps nomme le “Big Game Hunting”, qui peut se traduire
d’évaluer l’ampleur des dégâts. par “Chasse au gros gibier”.
Sur le site sur lequel sont publiés les noms de ses SamSam est pionnier en la matière en s’attaquant à
victimes qui refusent de “coopérer” (sic), le groupe des entreprises et des institutions de façon artisa-
affiche 237 adresses IP de serveurs du groupe de nale mais efficace. Les accès distants mal protégés
BTP. Plus de la moitié sont géolocalisées au Canada (utilisation de mots de passe faibles notamment) de
et en France. Les noms d’hôtes laissent penser que type RDP sont exploités pour s’introduire dans le S.I.
la plupart des machines impactées sont des ser- de la cible. Après une phase d’exploration et d’ob-
veurs et n’ont pas forcément été choisies au hasard. servation, le chiffrement est souvent déclenché sur
Selon un mode opératoire désormais bien rodé, le des actifs critiques en veille de week-end. Réputées
groupe affirme avoir préalablement exfiltré plusieurs peu sophistiquées, ces attaques, par le choix de
centaines de gigaoctets de données qui seront pu- leurs cibles - établissements hospitaliers, municipa-
bliées si le groupe de BTP refuse de coopérer, c’est- lités - n’en sont pas moins redoutables. Les activités
Le THREAT INTELLIGENCE WEEKLY REPORT Vous retrouverez en dernière page des détails sur nos offres
est publié publiquement et gratuitement chaque de Cyber Threat Intelligence. Ces publications sont réservées à
semaine pour faciliter la compréhension des cy- nos clients, adaptées à leur secteur d’activité et à leurs besoins
bermenaces dans ses dimensions tant techniques spécifiques. Pour plus d’informations : threatintel@sekoia.fr
que géopolitiques. Abonnez-vous pour le recevoir
automatiquement par e-mail.
1
30 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 07 FÉVRIER 2020
TLP WHITE
RANSOMWARE : LE MAL DU SIÈCLE
de SamSam prennent fin en novembre 2018 après la
mise en accusation par la justice américaine de deux Ce serait par sa filiale canadienne que le réseau de Bou-
ressortissants iraniens soupçonnés d’être les têtes ygues Construction aurait été compromis le 30 janvier,
pensantes du rançongiciel. Il n’en reste pas moins par le malware Maze. Ce dernier a été distribué à travers
que SamSam a montré la voie et que son flambeau des Exploit Kit dont Fallout EK ou Spelevo EK., puis par
fut vite repris. l’intermédiaire de CobaltStrike. Une fois introduits dans
le réseau d’une victime, les attaquants s’y propagent
Une bascule se fait en 2018, année au cours de la- en utilisant la plupart du temps les outils natifs et les
quelle le nombre d’entreprises et d’institutions vic- moyens de connexion disponibles sur les machines in-
times de rançongiciels dépasse celui des victimes fectées (PowerShell et RDP). Cette phase d’installation,
“grand public”. Après avoir ciblé monsieur et madame d’observation et d’apprentissage des us et coutumes
Michu, les cybercriminels s’en prennent à Michu S.A. des victimes peut durer plusieurs semaines, mises à
ou à Michu sur Yvette. La plateforme Ransomware- profit pour exfiltrer des données vers des serveurs FTP.
as-a-Service GandCrab et ses 150 millions de dollars Maze est alors utilisé en charge finale.
de bénéfices sont l’exemple de ce virage. Ce groupe A la menace de diffuser les données volées en cas de
prend officiellement sa retraite en juin 2019. non paiement de la rançon, un des groupes utilisant
Maze ajoute la publication de la liste de ses victimes -
La nature ayant horreur du vide, il est remplacé ironiquement appelées “Clients” par le groupe - sur un
par Sodinokibi qui a des similarités de code avec site librement accessible sur l’Internet surfacique. Ce
GandCrab. Ses opérateurs s’illustrent par des cam- site au design désuet bénéficie même des services de
pagnes d’attaques coordonnées contre des munici- CloudFlare contre les dénis de service. Le site permet
palités américaines, notamment au Texas. Sodinoki- aussi de contacter les cybercriminels.
bi innove aussi sur le plan technique. Les méthodes
de diffusion du rançongiciel sont variées et choisies Comme on n’arrête pas le progrès et que l’appât du gain
pour leur efficacité. Outre le traditionnel fichier pié- dope la créativité et l’ingéniosité, l’année 2020 pourrait
gé, des attaques de phishing sont menées préala- voir l’apparition d’un nouveau type de rançongiciel s’at-
blement à une intrusion dans le S.I. de la cible avant taquant aux composants des systèmes industriels. Fin
de déclencher le chiffrement. L’exploitation de failles 2019, MalwareHunter, SentinelOne et Dragos ont publié
0-day est remarquée ainsi que, fin décembre 2019, des rapports d’analyse d’un malware nommé EKANS,
la compromission de terminaux VPN vulnérables, disposant de fonctionnalités “anti-SCADA”. Avant de lan-
notamment les VPN Pulse Secure. Sodinokibi utilise cer le chiffrement de données, EKANS arrête certains lo-
aussi pour la première fois la menace de diffuser des giciels utilisés en environnement industriel. Cela pourrait
données volées comme moyen de pression à l’en- avoir comme conséquence, ou comme objectif, d’ajou-
contre de victimes récalcitrantes. Cette méthode est ter à la confusion des équipes IT d’une victime, qui de-
rapidement imitée et adoptée par d’autres groupes. vraient faire face à la perte de données en même temps
qu’à un arrêt de la production. Une campagne de pro-
Autre “star” de la “start-up nation” Ransomware : pagation de ce ransomware aurait ciblé des entreprises
Ryuk. Ce malware serait opéré par le groupe cyber- du Moyen-Orient fin 2019.
criminel FIN6, auparavant spécialisé dans la com-
promission de terminaux de points de vente et les Signe aussi de l’ampleur et de l’expansion du phéno-
attaques visant le secteur financier. Ryuk est très mène, la vente d’accès compromis sur les forums under-
souvent associé aux malware bancaires Trickbot (qui ground a le vent en poupe. Le groupe FIN6 serait un des
serait l’oeuvre de FIN6) et Emotet. Trois entreprises clients habituels de ces ressources. Du côté des vulné-
françaises figurent parmi les victimes de Ryuk, dont rabilités, celles affectant des terminaisons VPN comme
Fleury Michon (compromission du réseau logis- les solutions Citrix ou Pulse Secure sont désormais en
tique) et, déjà, une filiale canadienne de Bouygues priorité exploitées pour déployer des ransomware.
Construction. Fin janvier 2020, Electronic Warfare
Associates (EWA), un sous-traitant du ministère de En dehors de ces progrès techniques, le marché du ran-
la Défense américain, a rejoint la liste des victimes çongiciel est soutenu, involontairement mais directe-
de Ryuk. ment, par l’apparition de sociétés d’assurance couvrant
230 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 07 FÉVRIER 2020
TLP WHITE
RANSOMWARE : LE MAL DU SIÈCLE
ce risque et prêtes à payer les cybercriminels pour
éviter à leurs assurés des coûts plus importants in-
duits par la reconstitution “from scratch” de leurs
ressources. Autres acteurs : les cabinets et sociétés
qui se spécialisent dans la négociation avec les cy-
bercriminels et dont certaines promettent l’obten-
tion de rabais significatifs sur les montants réclamés.
La menace rançongiciel se porte donc malheureu-
sement bien et les petites entreprises cybercrimi-
nelles qui la pratiquent ne connaîtront sûrement pas
la crise en 2020.
Sources & Références :
https://www.cert.ssi.gouv.fr/uploads/CERTFR-
2020-CTI-001.pdf
h t t p s : // w w w . l e m o n d e . f r / p i x e l s / a r -
ticle/2020/01/31/rancons-exorbitantes-attaques-
c i b le e s-2019 -a n n e e -fa s te - p o u r- le - r a n co n g i -
ciel_6027913_4408996.html
330 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 07 FÉVRIER 2020
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[LE MONDE INFORMATIQUE] LE GROUPE DE CYBERCRIMINELS TA2101 MENACE DE
DIVULGUER LES DONNÉES DE BOUYGUES CONSTRUCTION
Le groupe TA2101 a revendiqué le de données qui auraient été exfil- prise avait déposé plainte.
3 février l’attaque contre Bouygues trées puis chiffrées à l’aide du ran-
Construction et a annoncé dans somware Maze. L’attaque n’a pas interrompu
une dépêche de l’Agence France ses chantiers à l’international et
presse (AFP) qu’un texte nommé L’ANSSI a publié le 5 février des l’échange de données avec l’exté-
“Bouygues construction” était en marqueurs techniques associés au rieur fait l’objet d’une procédure de
ligne avec la liste des ordinateurs groupe TA2101 -actif depuis environ sécurisation renforcée.
de l’entreprise ayant été piratés et un an- utilisant le rançongiciel Maze.
les données qu’ils stockaient. Bouygues Construction a publié un
communiqué le même jour décla-
Selon le groupe, ces 237 fichiers re- rant que ses systèmes étaient en
présentent plus de 700 téraoctets cours de restauration et que l’entre-
SOURCES ET RÉFÉRENCES :
https://www.frenchweb.fr/bouygues-construction-apres-la-cyberattaque-un-groupe-de-hackers-me-
nace-de-divulguer-des-donnees/391482
https://mediaroom.bouygues-construction.com/point-sur-la-cyberattaque/
https://www.lemondeinformatique.fr/actualites/lire-ransomware-maze-bouygues-construction-reme-
die-l-anssi-documente-78010.html
https://cert.ssi.gouv.fr/ioc/CERTFR-2020-IOC-001/
MOTS CLEFS : BOUYGUES CONSTRUCTION, RANSOMWARE, MAZE, TA2101
[THE NEW HUMANITARIAN] L’ORGANISATION DES NATIONS UNIES VICTIME D’UNE
CYBERATTAQUE
Les sièges de l’Organisation des était une vulnérabilité dans Micro- Nations unies aux droits de l’homme.
Nations Unies (ONU) à Genève et soft SharePoint (CVE-2019-0604) Seuls les administrateurs réseau
Vienne ont subi une cyberattaque pour laquelle la mise à jour était ont été avertis le 30 août 2019. Les
l’été dernier ayant compromis la disponible depuis des mois. Un atta- employés ont reçu pour consigne de
confidentialité de ses données. Des quant à distance a pu contourner les changer leurs mots de passe, sans
dossiers du personnel, des données mesures de contrôle d’accès et exé- information supplémentaire. Etant
d’assurance maladie et relatives aux cuter des commandes au niveau du donné que l’ONU est couverte par
contrats commerciaux ont été com- système du réseau de Vienne, puis, l’immunité diplomatique, elle n’est
promis. L’intrusion se serait produite avec des accès d’administrateur, a pas tenue de divulguer l’existence
en juillet 2019 mais l’ONU ne l’a dé- pu se latéraliser dans les réseaux de d’une attaque, ni les tenants et les
tectée qu’un mois plus tard. l’ONU pour accéder à ceux de Ge- aboutissants.
Le point d’entrée des attaquants nève et du Haut-Commissariat des
SOURCES ET RÉFÉRENCES :
https://apnews.com/0d958e15d7f5081dd612f07482f48b73
https://www.theregister.co.uk/2020/01/29/un_covered_up_hack/
https://www.thenewhumanitarian.org/investigation/2020/01/29/united-nations-cyber-attack
https://unit42.paloaltonetworks.com/actors-still-exploiting-sharepoint-vulnerability/
MOTS CLEFS : ONU, SHAREPOINT, CVE-2019-0604
430 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 07 FÉVRIER 2020
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[SENTINELLABS] LE GROUPE PRO-RUSSE GAMAREDON INTENSIFIE SES OPÉRATIONS
D’ESPIONNAGE
Gamaredon a intensifié son of- de Pterodo qui permet notamment la Russie. Selon SentinelLabs, les
fensive contre le gouvernement de collecter et exfiltrer des informa- attaques de Gamaredon permettent
ukrainien ces derniers mois. tions système. à l’armée russe de tester les capaci-
tés cyber de l’Ukraine. Le Service de
En effet, depuis décembre 2019, les L’annexion de la Crimée en 2014 n’a sécurité d’Ukraine (SBU) a déclaré
forces militaires et de police ukrai- pas calmé les aspirations russes en- le mois dernier qu’il avait empêché
niennes sont victimes d’attaques de vers leur voisin et l’intensification des 482 cyberattaques contre des in-
cyberespionnage sophistiquées. Le activités du groupe de Gamaredon frastructures critiques en 2019.
dernier malware déployé par Ga- démontre que l’Ukraine constitue
maredon est une nouvelle version toujours une cible stratégique pour
SOURCES ET RÉFÉRENCES :
https://labs.sentinelone.com/pro-russian-cyberspy-gamaredon-intensifies-ukrainian-security-targeting/
https://threatpost.com/gamaredon-apt-toolset-ukraine/152568/
MOTS CLEFS : GAMAREDON, PTERODO, UKRAINE, RUSSIE, SBU
[CERTFA] CAMPAGNE DE PHISHING DU GROUPE IRANIEN CHARMING KITTEN USURPANT
L’IDENTITÉ D’UNE JOURNALISTE DU NEW YORK TIMES
Certfa a détecté une campagne de du New York Times Farnaz Fassihi. Pour cette campagne, Charming
phishing menée par le groupe ira- Kitten a utilisé en first stage un nou-
nien Charming Kitten (aka APT35, Si la victime accepte la demande veau malware nommé “pdfReader.
Phosphorus, Ajax Security Team). d’entretien, elle pense télécharger exe” qui est une porte dérobée peu
les questions mais le lien télécharge sophistiquée permettant de dé-
En fin d’année 2019, des journalistes, en réalité un kit de phishing qui per- ployer d’autres malware.
militants, universitaires et person- met à l’attaquant de collecter les
nalités iraniens ont reçu des mails identifiants de mail et le code d’au-
usurpant l’identité de la journaliste thentification à double facteur.
SOURCES ET RÉFÉRENCES :
https://blog.certfa.com/posts/fake-interview-the-new-activity-of-charming-kitten/
https://www.reuters.com/article/us-iran-hackers-exclusive/exclusive-iran-linked-hackers-pose-as-jour-
nalists-in-email-scam-idUSKBN1ZZ1MS
https://www.bleepingcomputer.com/news/security/charming-kitten-hackers-impersonate-journa-
list-in-phishing-attacks/
MOTS CLEFS : CHARMING KITTEN, IRAN, PHISHING
530 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 07 FÉVRIER 2020
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[WIRED] LES UTILISATEURS BRITANNIQUES ET AMÉRICAINS VICTIMES D’UNE CAMPAGNE
DE PHISHING SUR LE THÈME DU CORONAVIRUS
Des cybercriminels se sont inspirés Mimecast a extrait un sample de nels de créer des mails de phishing
de l’épidémie du Coronavirus pour mail montrant que les attaquants convaincants et de mieux garantir la
envoyer des mails de phishing pré- disséminent un programme malveil- compromission de la cible.
textant conseiller comment s’en lant dans un PDF à télécharger via
prémunir. un lien. Afin de gagner la confiance L’épidémie du Coronavirus et la
de leur cible, les attaquants ont crainte qu’elle suscite sont une op-
D’après les échantillons détectés usurpé l’identité de spécialistes de portunité sur laquelle les attaquants
par Mimecast, seuls les utilisateurs la santé comme des virologistes. vont sûrement continuer de capita-
britanniques et américains ont été Les événements géopolitiques liser.
touchés pour le moment. majeurs permettent aux cybercrimi-
SOURCES ET RÉFÉRENCES :
https://www.wired.com/story/coronavirus-phishing-scams/
https://www.darkreading.com/endpoint/coronavirus-phishing-attack-infects-us-uk-inboxes/d/d-
id/1336946
MOTS CLEFS : CORONAVIRUS, ROYAUME-UNI, ETATS-UNIS, PHISHING
630 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 07 FÉVRIER 2020
TLP WHITE
NOS DERNIERS BILLETS MEDIUM
| medium.com/@sekoia_team | medium.com/cyberthreatintel | medium.com/sekoia-io-blog |
APT20: The limits of MFA exposed by a Chinese Le marché complexe des assurances Cyber
hacker group
Les attaques Cyber se démultipliant et coûtant de plus
What concerns us in this post is that APT20 suc- en plus cher aux entreprises et établissements privés,
ceeded in logging in maintaining access to the un marché d’assurances Cyber commence à s’implan-
compromised systems by logging in a VPN ac- ter dans le milieu professionnel européen.
count protected by Multi-Factor Authentications.
—> Le billet complet
As described by Fox-IT, APT20 probably stole a sof-
tware token in use in the victim’s organization du-
ring their intrusion. By patching some instructions
in the source code, they could have bypassed the
software’s security and installed it on their compu-
ter, which would then enable them to generate va-
lid OTPs (One-Time Password) for this VPN account.
—> Le billet complet
SEKOIA THREAT INTELLIGENCE FLASH REPORT (RÉSERVÉ À NOS CLIENTS CTI)
EXTRAITS DE NOS DERNIERS FLINT :
07/02/2020 - FL|INT.2020-027
Vulnerabilities in Cisco’s CDP Protocol Bénéficier d’1 mois d’essai gratuit
06/02/2020 - FL|INT.2020-026 et sans engagement à notre offre FLINT :
A new variant of Metamorfo targets customers
of financial institutions https://www.sekoia.fr/flint
05/02/2020 - FL|INT.2020-025 flint@sekoia.fr
EKANS targeting ICS infrastructure
730 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 07 FÉVRIER 2020
TLP WHITE
INTELLIGENCE-DRIVEN CYBERSECURITY
POUR SIGNALER UN INCIDENT
Si vous êtes victime d’une attaque, si vous avez un doute
ou si vous désirez revenir et investiguer sur un incident
de sécurité, prenez contact avec le CERT SEKOIA.
cert@sekoia.fr
+33 (0) 805 692 142
SEKOIA accompagne les premières sociétés du CAC40
dans la mise en place de leurs CERTs internes. VÉLOCE, SCALABLE, INTÉROPÉRABLE ET COLLABORA-
TIVE, SEKOIA.IO PERMET D’ADAPTER SA POSTURE DE
Depuis 2013 SEKOIA active son CERT inter-entreprises et DÉFENSE AUX NOUVEAUX ENJEUX DE LA CYBERDÉ-
offre ses services à des OIV et autres acteurs du CAC40 FENSE.
et du SBF120.
SEKOIA.IO, une solution SaaS pour la détection et la
réponse aux incidents de sécurité à un nouveau rythme.
SEKOIA.IO exploite une CTI exclusive, des technologies
innovantes d’orchestration et d’automatisation et repose
sur une infrastructure scalable pour répondre au désé-
quilibre croissant existant entre les équipes de défense
LA THREAT INTELLIGENCE, et les attaquants.
PIERRE ANGULAIRE DE LA
LUTTE INFORMATIQUE DEFENSIVE
SEKOIA dispose d’une offre complète
en matière de Cyber Threat Intelligence :
• conseil & accompagnement, A PROPOS DE SEKOIA
• formation, Pure player et acteur français majeur de la cybersécuri-
• veille et rapport sur les cybermenaces : té, SEKOIA accompagne au quotidien grands comptes,
institutions et entreprises innovantes pour les conseiller
SEKOIA THREAT INTELLIGENCE BRIEFING REPORT sur leur stratégie, les préparer et leur offrir support et
assistance dans l’exercice de leurs métiers comme dans
SEKOIA THREAT INTELLIGENCE FLASH REPORT les phases les plus critiques d’exposition aux menaces.
SEKOIA THREAT INTELLIGENCE SPECIAL REPORT Découvrez une structure,
un modèle et une stratégie innovante
• base & feed de renseignements cyber : dans le secteur de la cybersécurité.
SEKOIA THREAT INTELLIGENCE CENTER
SEKOIA — PARIS
18-20,
Place de la Madeleine,
75008 Paris
SEKOIA — RENNES
1137A
Avenue des Champs Blancs
35510 CESSON-SÉVIGNÉ
—
Tél. +33 1 44 43 54 13
—
sekoia.fr | formation.sekoia.fr | jobs.sekoia.fr
medium.com/cyberthreatintel | medium.com/sekoia-io-blog
8Vous pouvez aussi lire
