SEKOIA THREAT INTELLIGENCE WEEKLY REPORT
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
05 05 01
JUILLET 2019
MARS 2019
TLP WHITE
SEKOIA
THREAT INTELLIGENCE
WEEKLY REPORT
TLP WHITE
OUPS, VOS FICHIERS ONT
ÉTÉ CHIFFRÉS !
Se démarquant des campagnes massives indiscri-
minées, certains groupes cybercriminels se sont
aujourd’hui spécialisés dans le rançonnage ciblé,
cherchant à paralyser complètement des organi-
sations les obligeant ainsi à payer de très fortes
sommes d’argent pour rétablir leurs systèmes d’in-
formation le plus rapidement possible...
En 1989, Joseph Popp développait un logiciel qui, L’apparition de cryptomonnaies, telles que le Bit-
une fois déployé sur une machine, masquait les fi- coin permettant le transfert de monnaies via inter-
chiers du disque dur, chiffrait leurs noms, puis affi- net fut certainement une nouveauté technologique
chait un message affirmant l’expiration de la licence des plus appréciées par les groupes d’attaquants
d’un logiciel donné. La victime était alors invitée à - ceci leur permettant de s’assurer le versement de
payer la somme de 198 dollars à la compagnie “PC rançons de façon plus ou moins anonyme. Intéres-
Cyborg Corporation” afin d’obtenir un outil de res- sés par le gain, les auteurs de ransomwares suivent
tauration. Joseph Popp avait créé le premier ran- certaines tendances au fil des ans: optimisant leurs
somware. Ces logiciels malveillants conçus pour outils, leurs techniques et leurs cibles afin de maxi-
bloquer l’accès aux données ou aux appareils de miser le revenus de leurs campagnes frauduleuses.
leur victime jusqu’à ce qu’une rançon soit versée ont
bien évolué depuis les années 90 et sont devenus Exploitant une faille Windows nommée EternalBlue
- en raison de leur capacité à paralyser totalement et se propageant massivement sans aucune interac-
les systèmes informatiques d’un utilisateur ou d’une tion de la part de la victime, le ransomware Wanna-
entreprise - une menace des plus présentes. cry défrayait la chronique en 2017 et mettait en pa-
Le THREAT INTELLIGENCE WEEKLY REPORT Vous retrouverez en dernière page des détails sur nos offres
est publié publiquement et gratuitement chaque de Cyber Threat Intelligence. Ces publications sont réservées à
semaine pour faciliter la compréhension des cy- nos clients, adaptées à leur secteur d’activité et à leurs besoins
bermenaces dans ses dimensions tant techniques spécifiques. Pour plus d’informations : threatintel@sekoia.fr
que géopolitiques. Abonnez-vous pour le recevoir
automatiquement par e-mail.
1
05 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 05 01
JUILLET 2019
MARS 2019
TLP WHITE
OUPS, VOS FICHIERS ONT ÉTÉ CHIFFRÉS !
nique toutes les entreprises. Les attaquants étaient pas payer les rançons.
alors dans une logique d’infections massives de
machines exigeant une “faible” rançon de quelques L’impact financier d’un ransomware peut être divi-
centaines de dollars. Dans le même temps, certains sé en deux parties : coût de récupération et coût du
groupes de cybercriminalité s’éloignent du modèle temps d’arrêt. La première contient les dépenses
de distribution de masse ciblant principalement le couvrant les frais de police scientifique, la recons-
grand public en faveur d’attaques manuelles, ciblées truction du système interne et des postes de travail,
et planifiées contre des organisations privées et pu- y compris la rançon, le cas échéant. La deuxième et
bliques. Ainsi, début 2019, un nouveau ransomware la plus importante est la perte induite par le temps
nommé LockerGoga provoquait de graves perturba- d’inactivité causé par le ransomware. Cette perte
tions opérationnelles dans de grandes entreprises dépasse généralement largement le montant de
telles que le cabinet français d’ingénierie-conseil la rançon. Par exemple, Norsk Hydro a estimé une
Altran, le fabricant norvégien d’aluminium Norsk Hy- perte totale à 40 millions de dollars seulement une
dro et d’autres sociétés de fabrication. Ces attaques semaine après avoir été infectée par LockerGoga et
ont paralysé ou très fortement perturbé ces entre- la perte globale du ransomware SamSam a été es-
prises pendant de longues semaines, engendrant timée à plus de 30 millions de dollars pour les vic-
de lourdes pertes financières allant jusqu’à plusieurs times.
millions d’euros.
Certaines entreprises se voient obligées de payer la
Lors d’attaques ciblées, si le nombre de victimes est rançon afin de récupérer leurs documents au plus
bien moindre que celui lors d’une propagation mas- vite. C’est notamment le choix qu’ont fait deux villes
sive, la rançon, elle, augmente fortement - chiffrant de Floride en payant une rançon totale de plus 900
alors jusqu’à plusieurs dizaines voir centaines de 000 dollars. Les impôt servent également à payer
milliers d’euros. des rançons aujourd’hui… Prendre le risque de payer
une rançon n’est cependant pas anodin car rien ne
Cependant, de telles attaques demandent un niveau garantit que l’attaquant tiendra sa promesse de dé-
de compétences élevé de la part des attaquants et chiffrement une fois la somme reçue. De plus, ceci
ne sont pas à portée de chacun. C’est ainsi que des encourage non seulement les cybercriminels ac-
ransomwares disponibles “clé en main”, suivant le tuels à cibler un plus grand nombre d’organisations,
model de Software-as-a-service sont apparus. Ces mais encourage également d’autres criminels à s’im-
logiciels permettent - moyennant un versement pliquer dans ce type d’activité illégale.
initial aux auteurs du service - la mise à disposition
d’un ransomware prêt à l’emploi. Les auteurs récu- L’impact potentiel d’un ransomware ne peut qu’invi-
pèrent alors une commission sur les revenus engen- ter toutes les entreprises et organisations publiques
drés par leurs services. En juin 2019, les auteurs du (notamment les mairies, hôpitaux, etc.) à s’assurer
ransomware-as-a-service GrandCrab tiraient leur une sauvegarde efficace de leurs données, des pro-
révérence en affirmant avoir accumulé plus 150 mil- cédures testées de restauration et une revue sé-
lions d’euros grâce à leur service. rieuse de la sécurité de leur parc informatique - la
menace des ransomwares étant jusqu’à présent très
Pour une entreprise impactée par un ransomware, la fructueuse pour ses auteurs - ne semble pas prête
question du paiement (ou non) de la rançon se pose. de disparaître de si tôt.
Les autorités recommandent, par exemple, de ne
Sources et références
https://www.wired.com/story/lockergoga-ransomware-crippling-industrial-firms/
https://www.bleepingcomputer.com/news/security/gandcrab-ransomware-shutting-down-after-claiming-to-earn-
2-billion/
https://www.sekoia.fr/wp-content/uploads/2019/06/20190607_SEKOIA-Threat-Intelligence-Weekly-Report_01.pdf
https://www.fbi.gov/investigate/cyber
https://www.zdnet.com/article/norsk-hydro-ransomware-incident-losses-reach-40-million-after-one-week/
https://www.justice.gov/opa/pr/two-iranian-men-indicted-deploying-ransomware-extort-hospitals-municipali-
ties-and-public
2
05 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 05 JUILLET 2019
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[REUTERS] YANDEX, LE « GOOGLE RUSSE » PIRATÉ PAR DES AGENCES DE RENSEI-
GNEMENT OCCIDENTALES
Le moteur de recherche Yandex, Les attaquants auraient déployé le une persistance dans le système de
équivalent de Google en Russie, malware Regin, dont l’utilisation a Yandex pendant plusieurs semaines
aurait été la cible d’une cyberat- été associée, par le passé, au GCHQ avant d’être détectés.
taque coordonnée par des services britannique et à la NSA, afin d’es-
de renseignement occidentaux et pionner certains comptes utilisa- D’après un communiqué de presse
notamment les Five Eyes (l’alliance teurs de Yandex. de Yandex, aucune donnée de ses
des services de renseignement des clients n’a été compromise.
Etats-Unis, du Royaume-Uni, de Suite à l’exploitation d’une vulné-
l’Australie, du Canada et de la Nou- rabilité entre octobre et novembre
velle-Zélande). 2018, les attaquants ont pu maintenir
SOURCES ET RÉFÉRENCES :
https://www.reuters.com/article/us-usa-cyber-yandex-exclusive/exclusive-western-intelligence-
hacked-russias-google-yandex-to-spy-on-accounts-sources-idUSKCN1TS2SX
MOTS CLEFS : CYBERESPIONNAGE / APT / RUSSIE / YANDEX / FIVE-EYES
[CHECK POINT RESEARCH] OPÉRATION TRIPOLI
Cede Check Point continue une in- de fausses pages d’information sur
vestigation menée en 2017 par les la société libyenne sur le réseau
chercheurs de Trend Micro sur un Facebook qu’il utilisait occasion-
individu (probablement) Libyen nellement pour distribuer des liens
agissant à la fois dans les sphères malveillants ou pour publier des do-
de la cybercriminalité de l’hackti- cuments volés.
visme.
Les victimes, principalement li-
En sus de ces campagnes de byennes, étaient infectées par des
compromission par phishing, la sin- RATs commerciaux tels que Houdini,
gularité de cet individu est d’avoir Remcos, SpyNote ou NjRAT.
maintenu pendant plusieurs années
SOURCES ET RÉFÉRENCES:
https://research.checkpoint.com/operation-tripoli/
https://blog.trendmicro.com/trendlabs-security-intelligence/from-cybercrime-to-cyberpropaganda/
MOTS CLEFS : LIBYE / FACEBOOK / MALWARES
305 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 05 JUILLET 2019
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[WIRED] ATTAQUE DE RANSOMWARE SUR LES TRIBUNAUX GÉORGIENS
Après les villes de Key Bis- un ransomware sophistiqué pré- dernièrement la Floride. Reste à
cayne, Lake City, and Riviera sent sur ses serveurs. savoir si les bureaux géorgiens
Beach c’est au tour des bureaux vont - comme Lake City et Riviera
administratifs des tribunaux Si le ransomware en question n’a Beach - payer ou non la rançon
géorgiens de subir une attaque pas été précisé, des informations demandée.
par ransomware. sembleraient indiquer l’utilisation
En effet, les tribunaux géorgiens du ransomware Ryuk - impliqué
auraient détecté dimanche passé dans deux infections touchant
SOURCES ET RÉFÉRENCES :
https://www.wired.com/story/ransomware-hits-georgia-courts-municipal-attacks-spread/
MOTS CLEFS : RANSOMWARE / TRIBUNAUX / USA
[ZDNET] DANS LA RÉGION CHINOISE DE XINJIANG, DES LOGICIELS ESPIONS DANS
LES SMARTPHONES DES TOURISTES
Pour entrer dans la région du d’y rechercher des contenus isla- elle affiche une icône sur l’écran de
Xinjiang, les étrangers sont miques. Il faut rappeler que le gou- l’appareil expliquant son rôle et la
dans l’obligation d’instal- vernement mène déjà sur la popula- possibilité d’être retiré du téléphone
ler sur leur téléphone un logi- tion locale une vaste campagne de après son utilisation par les autorités.
ciel malveillant appelé BXAQ. surveillance et d’oppression à l’en-
contre de la population musulmane. Depuis la révélation de l’exis-
Ce dernier transmet leurs messages tence de BXAQ, plusieurs so-
textes aux autorités, collecte les en- Plutôt que d’être téléchargé à par- ciétés d’antivirus ont mis à jour
trées de calendriers, de contacts té- tir de Google Play Store, son ins- leurs produits pour estampiller
léphoniques ou encore de journaux tallation se fait directement par les l’application comme malware.
d’appels qu’il télécharge sur un ser- agents de sécurité aux frontières.
veur. Le logiciel scanne également Par ailleurs, l’application n’essaie pas
l’appareil de la personne dans le but de masquer son action. Au contraire,
SOURCES ET RÉFÉRENCES :
https://www.vice.com/en_us/article/7xgame/at-chinese-border-tourists-forced-to-install-a-text-stealing-
piece-of-malware
MOTS CLEFS : CHINE / CYBERSURVEILLANCE / MALWARE
405 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 05 JUILLET 2019
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[TWITTER] L’USCYBERCOM ALERTE SUR UNE VULNÉRABILITÉ OUTLOOK
Le USCYBERCOM, le commande- L’exploit utilise la fonction Home- et 2018.
ment inter-armées du gouverne- page de Outlook pour exécuter du
ment américain responsable de code malveillant à partir d’un ac- Pour rappel, le mode opératoire
la sécurité des systèmes informa- cès compromis. Cinq malwares qui APT33 a été lié à plusieurs cam-
tiques (et lié à la NSA) a publié une pourraient être liés à ces attaques pagnes d’intrusions dans le secteur
alerte indiquant que la vulnérabili- ont également été identifiés sur la de l’énergie et à des attaques des-
té CVE-2017-11774 serait exploitée plateforme VirusTotal par l’USCY- tructrices utilisant le ver Shamoon.
actuellement, apparemment par BERCOM. Ces code malveillants se-
des acteurs iraniens. raient utilisés par APT33 depuis 2017
SOURCES ET RÉFÉRENCES :
https://www.zdnet.com/article/us-cyber-command-issues-alert-about-hackers-exploiting-outlook-vulne-
rability/
https://twitter.com/CNMF_VirusAlert/status/1146130046127681536
https://www.virustotal.com/gui/user/CYBERCOM_Malware_Alert/comments
MOTS CLEFS : IRAN / ENERGIE / OUTLOOK / EXCHANGE
[GROUP-IB] LE GROUPE SILENCE DERRIÈRE LA CYBERATTAQUE CONTRE LA
BANQUE BANGLADAISE
Alors que l’attaque de la banque Pour autant, ce groupe opérait qui auraient eu lieu dans la période
bangladaise Dutch Bangla Bank jusqu’à présent en installant son concernée. L’utilisation de mules
Limited (DBBL) avait précédem- propre code «Atmosphere» sur les ukrainiennes serait aussi un fait non
ment été décrite comme ayant uti- ATMs après avoir compromis le ré- concordant avec le mode opératoire
lisé un mode opératoire attribué seau de la banque. de Bluenoroff.
au groupe nord-coréen Bluenoroff
(clonage du serveur applicatif de Il s’agit donc peut-être d’un nouveau
communateur réseau entre l’ATM mode opératoire pour ce groupe.
et le serveur de la banque), la so- Group-IB s’appuie sur des com-
ciété russe Group-IB pencherait munications observées entre des
plutôt pour une attaque du groupe adresses IPs appartenant à DBBL
de cybercriminalité russe Silence. et un serveur de C&C de Silence
SOURCES ET RÉFÉRENCES :
https://www.group-ib.com/media/silence-apt/
MOTS CLEFS : ATM JACKPOTING / SILENCE / BANQUE
505 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 05 JUILLET 2019
TLP WHITE
NOS DERNIERS BILLETS MEDIUM
| medium.com/cyberthreatintel | medium.com/sekoia-io-blog |
Etats-Unis vs Iran : bataille navale à l’heure du Threat Intel 101 — CoA faire en cas d’intrusion ?
cyberespace
Une des qualités du renseignement sur les menaces
Les tensions entre les Etats-Unis et l’Iran s’intensifient est d’être actionnable. Cet anglicisme signifie “qui per-
depuis plusieurs mois et le cyberespace prend une met et guide l’action”. Dans le contexte de la réponse
place prépondérante dans les actions de chaque camp aux incidents ou celui de l’adaptation de la politique de
pour provoquer, (tenter de) dissuader ou répliquer aux sécurité et des défenses numériques d’une organisa-
démonstrations militaires, aux sanctions économiques tion, la Threat Intelligence doit permettre de répondre
ou aux tweets de certains protagonistes… Jusqu’à l’es- à la question posée en 1901 par Vladimir Ilitch Oulianov
calade ? : “Que Faire” ?
—> Le billet complet —> Le billet complet
Introduction to STIX and TAXII Les 10 commandements de la Threat Intelligence
chez SEKOIA
As mentioned in a previous article, efficient automation
of cyber security requires a standard to describe and a L’approche Threat Intel chez SEKOIA est régie par les
mean to exchange information. The Cyber Threat Intelli- meilleures pratiques en matière de renseignement.
gence Technical Committee (CTI TC) of the Organization Nous avons aligné nos activités sur les 10 commande-
for the Advancement of Structured Information Stan- ments suivants.
dards (OASIS) proposes the STIX and TAXII standards to
meet both needs. —> Le billet complet
—> Le billet complet
605 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 05 JUILLET 2019
TLP WHITE
INTELLIGENCE-DRIVEN CYBERSECURITY
POUR SIGNALER UN INCIDENT
Si vous êtes victime d’une attaque, si vous avez un doute
ou si vous désirez revenir et investiguer sur un incident
de sécurité, prenez contact avec le CERT SEKOIA.
cert@sekoia.fr
+33 (0) 805 692 142
SEKOIA accompagne les premières sociétés du CAC40
dans la mise en place de leurs CERTs internes. VÉLOCE, SCALABLE, INTÉROPÉRABLE ET COLLABORA-
TIVE, SEKOIA.IO PERMET D’ADAPTER SA POSTURE DE
Depuis 2013 SEKOIA active son CERT inter-entreprises et DÉFENSE AUX NOUVEAUX ENJEUX DE LA CYBERDÉ-
offre ses services à des OIV et autres acteurs du CAC40 FENSE.
et du SBF120.
SEKOIA.IO, une solution SaaS pour la détection et la
réponse aux incidents de sécurité à un nouveau rythme.
SEKOIA.IO exploite une CTI exclusive, des technologies
innovantes d’orchestration et d’automatisation et repose
sur une infrastructure scalable pour répondre au désé-
quilibre croissant existant entre les équipes de défense
LA THREAT INTELLIGENCE, et les attaquants.
PIERRE ANGULAIRE DE LA
LUTTE INFORMATIQUE DEFENSIVE
SEKOIA dispose d’une offre complète
en matière de Cyber Threat Intelligence :
• conseil & accompagnement, A PROPOS DE SEKOIA
• formation, Pure player et acteur français majeur de la cybersécuri-
• veille et rapport sur les cybermenaces : té, SEKOIA accompagne au quotidien grands comptes,
institutions et entreprises innovantes pour les conseiller
SEKOIA THREAT INTELLIGENCE BRIEFING REPORT sur leur stratégie, les préparer et leur offrir support et
assistance dans l’exercice de leurs métiers comme dans
SEKOIA THREAT INTELLIGENCE FLASH REPORT les phases les plus critiques d’exposition aux menaces.
SEKOIA THREAT INTELLIGENCE SPECIAL REPORT Découvrez une structure,
un modèle et une stratégie innovante
• flux d’IoCs : dans le secteur de la cybersécurité.
SEKOIA THREAT INTELLIGENCE FEED SEKOIA — PARIS
18-20,
Place de la Madeleine,
75008 Paris
SEKOIA — RENNES
1137A
Avenue des Champs Blancs
35510 CESSON-SÉVIGNÉ
—
Tél. +33 1 44 43 54 13
—
sekoia.fr | formation.sekoia.fr | jobs.sekoia.fr
medium.com/cyberthreatintel | medium.com/sekoia-io-blog
7Vous pouvez aussi lire
