LMi MAG 10 Nov 2021 - Flipbook - Page 57
© DKosig - iStock
DarkSide RaaS a été arrêtée. Et trois semaines plus tard,
le ministère américain de la Justice annonçait qu’il avait
saisi la part de la société affiliée provenant du paiement
de la rançon de Colonial Pipeline.
Cependant, Carbon Spider n’a pas cessé ses actions,
même après ces événements, qui ont suscité une
condamnation sévère de la part du gouvernement
américain et de la communauté internationale. Des éléments indiquent qu’il a repris ses activités dans le cadre
d’autres incidents de diffusion de logiciels malveillants.
Le 21 juillet, un groupe appelé BlackMatter est apparu, cherchant à accéder à des cibles de ransomware
de grande envergure dont le chiffre d’affaires annuel
dépasse 100 millions de dollars aux Etats-Unis, au Canada, en Australie et au Royaume-Uni. CrowdStrike a
procédé à l’ingénierie inverse des variantes Windows de
DarkSide et de BlackMatter, et a constaté suffisamment
de chevauchements pour en déduire que BlackMatter
est simplement DarkSide sous une nouvelle forme. Selon les chercheurs de CrowdStrike, le véritable danger
des groupes de ransomware est donc qu’ils peuvent
s’adapter aux nouvelles tendances et se réinventer.
Même s’il n’est pas question de revenir aux vols de
données dans les points de vente, car les ransomwares
sont trop lucratifs.
« La grande chose à attendre de Carbon Spider, c’est qu’ils
continueront toujours à s’améliorer », déclare Eric Lou.
« Ils vont sans cesse introduire de nouveaux vecteurs
d’accès initiaux, de nouveaux PowerShell intermédiaires,
des attaquants et des injecteurs. Il faut donc s’attendre
à ce qu’ils innovent perpétuellement. Dans un an, je ne
serai pas surpris qu’ils soient nettement plus performants
qu’ils ne le sont aujourd’hui. »
Lazarus composé de nombreux groupes
Des chercheurs en sécurité ont déploré que tous les logiciels malveillants nord-coréens soient attribués à un
seul acteur de la menace nommé Lazarus Group, également appelé Hidden Cobra. Lazarus est surtout connu
pour avoir lancé l’attaque de 2014 contre Sony Pictures
et a ensuite été relié aux attaques WannaCry 2.0 de 2017.
Les chercheurs notent également la confusion de Lazarus
avec le groupe de menaces chinois présumé connu sous
le nom de Winnti, a déclaré Seongsu Park, chercheur
principal en sécurité au sein de l’équipe de recherche et
d’analyse mondiale de Kaspersky.
En réalité, Lazarus a évolué et se compose de plusieurs
« groupes », notamment :
L’évolution des groupes de cyberhacktivistes complique
l’attribution des attaques et donc la riposte des officines
spécialisées dans la cybercriminalité.
- ThreatNeedle, qui cible les échanges de cryptomonnaies, les entreprises de jeux mobiles, l’industrie de la
défense et les chercheurs en sécurité ;
- AppleJeus, qui a ciblé une bourse de cryptomonnaies,
une société de technologie financière et une société de
blockchain ;
- Bookcode, qui a ciblé un fournisseur de logiciels, un entrepreneur de la défense et une société pharmaceutique.
- DeathNote (également appelé DreamJob), qui a ciblé une
entité automobile, un milieu universitaire, une organisation de défense, un groupe de réflexion et une société de
logiciels ; [Lire l’intégralité de l’article sur lemondeinformatique.fr]
APPROFONDIR
ÉCOUTER EN LIGNE
Podcast
cutt.ly/pod-attribution-cyberattaque
LIRE EN LIGNE
Article
cutt.ly/art-attribution-cyberattaque
57