Aujourd’hui, les entreprises ont déjà un nombre impressionnant de dangers et de menaces à surveiller, du spam aux tentatives de phishing en passant par les nouvelles tactiques d’infiltration et de ransomware. Il n’y a aucune chance de se reposer, car les groupes d’attaque sont constamment à la recherche de moyens plus efficaces d’infiltrer et d’infecter les systèmes.
Aujourd’hui, des centaines de groupes se consacrent à infiltrer presque toutes les industries, concevant constamment des méthodes plus sophistiquées pour attaquer les organisations.
Il est encore plus troublant de noter que certains groupes ont commencé à collaborer, créant des tactiques complexes et furtives qui laissent même les meilleures équipes de sécurité se démener pour réagir. C’est le cas du fournisseur XDR Cynet, comme l’observe la société dans son dernier webinaire de recherche (Inscrivez-vous ici).
L’équipe de recherche de Cynet a noté que deux des groupes d’attaque les plus infâmes – Lunar Spider et Wizard Spider – ont commencé à travailler ensemble pour infecter les organisations avec des ransomwares.
L’évolution est certainement troublante, et le rapport montre pourquoi les équipes de sécurité et les professionnels doivent constamment examiner la situation dans son ensemble, et pas seulement le résultat d’une attaque.
Combiner les attaques pour plus d’impact
Les chercheurs de Cynet ont d’abord remarqué que quelque chose n’allait pas alors qu’ils étudiaient le malware IcedID, développé par Lunar Spider. Observé à l’origine dans la nature en 2017, IcedID est un cheval de Troie bancaire qui a ciblé les secteurs financiers aux États-Unis et en Europe. Après sa révélation initiale, Lunar Spider a modifié le modus operandi d’IcedID pour lui permettre de déployer des charges utiles supplémentaires, telles que Cobalt Strike.
Les chercheurs ont également étudié le ransomware CONTI, une approche d’attaque relativement nouvelle développée par Wizard Spider qui est déjà dans le collimateur du FBI. Ce « ransomware-as-a-service » (RaaS) a été repéré aux États-Unis et en Europe et a déjà fait des ravages dans de nombreuses organisations et réseaux.
Cynet a d’abord soupçonné le lien entre les deux organisations alors qu’il explorait un cas de ransomware CONTI qui utilisait de nombreuses tactiques familières, mais pas celles traditionnellement déployées par le groupe Wizard Spider.
Au cours de l’enquête, l’équipe a découvert que CONTI était déployé via des campagnes de logiciels malveillants qui utilisaient IcedID comme point d’attaque initial. Après avoir établi la persistance sur les appareils des cibles, IcedID a déployé une variante du ransomware CONTI pour verrouiller le réseau.
Comprendre les risques
Le nouveau webinaire Cynet Research plongera plus profondément dans l’anatomie de cette collaboration pour expliquer pourquoi elle est si troublante, mais aussi comment elle peut être détectée et combattue. Le webinaire abordera :
- Le contexte des groupes d’attaque. Lunar Spider et Wizard Spider sont bien connus et très dangereux. Leurs logiciels malveillants et autres outils existants sont très populaires et présents dans de nombreuses violations et attaques notables. Avant d’explorer leurs outils, le webinaire décomposera chaque groupe.
- La popularité croissante des attaques de ransomware. Ces tactiques se sont généralisées et devraient coûter aux organisations des centaines de milliards de dollars au cours de la prochaine décennie. Pour vraiment comprendre comment combattre cette nouvelle tactique d’attaque, il vaut la peine d’établir le fonctionnement du ransomware et quelques tactiques courantes.
- L’anatomie d’une attaque combinée IcedID et CONTI. Le webinaire présentera une étude de cas de cette nouvelle tactique d’attaque. Contrairement à d’autres attaques de ransomware, cette nouvelle méthode utilise des techniques des deux pour créer de la persistance, éviter la détection et verrouiller les systèmes avant que les organisations ne puissent réagir. De plus, ils utilisent de plus en plus des méthodes de « double extorsion », qui à la fois verrouillent les données et menacent de fuites si le paiement n’est pas reçu.
Vous pouvez inscrivez-vous au webinaire ici.