Sep 13 2024

Cyberattaques : 10 millions $ offerts pour des informations sur les pirates russes

Blizzard Hackers : 10 millions $ pour localiser les cybercriminels

Les États-Unis offrent 10 millions de dollars pour des informations sur les pirates russes responsables des cyberattaques majeures contre l’Ukraine

Dans une nouvelle escalade de la guerre cybernétique, le gouvernement des États-Unis a annoncé une récompense allant jusqu’à 10 millions de dollars pour des informations pouvant mener à l’identification ou à la localisation des membres du groupe de pirates russes, connu sous le nom de Cadet Blizzard. Ce groupe, associé à l’unité 29155 du GRU (Direction principale du renseignement de l’état-major général russe), est responsable de nombreuses cyberattaques destructrices depuis 2020.

Selon un avis conjoint publié par les agences de cybersécurité et de renseignement des États-Unis et leurs alliés internationaux, Cadet Blizzard est impliqué dans des opérations de sabotage, d’espionnage, et d’atteinte à la réputation contre des cibles critiques à travers le monde, notamment dans les secteurs des services financiers, de la santé, et de l’énergie. Ces attaques, visant à perturber les infrastructures critiques, ont récemment pris pour cible les efforts internationaux d’aide à l’Ukraine, déclenchant une vaste enquête internationale.

Un groupe notoire de cybercriminels

Cadet Blizzard, également désigné sous les pseudonymes Ember Bear, FROZENVISTA, et Ruinous Ursa, a attiré l’attention mondiale en janvier 2022, lorsqu’il a déployé un malware destructeur appelé WhisperGate contre plusieurs organisations ukrainiennes. L’attaque s’est produite juste avant l’invasion militaire de l’Ukraine par la Russie, marquant ainsi un tournant dans les tactiques de guerre hybride, qui combinent cyberattaques et opérations militaires classiques.

L’objectif principal de ces cyberattaques est d’infiltrer les infrastructures critiques pour déstabiliser les gouvernements et semer la peur chez les populations locales. Depuis 2022, les cyberacteurs de Cadet Blizzard ont élargi leurs attaques à des cibles gouvernementales, financières et de transport à travers l’Union européenne, l’Amérique centrale, et l’Asie. Leurs méthodes incluent le vol de données sensibles, leur manipulation et leur divulgation dans le but de nuire à la réputation de leurs cibles, voire d’organiser des campagnes de sabotage.

Opération Toy Soldier

Le dernier avis conjoint concernant Cadet Blizzard a été émis dans le cadre d’une opération internationale appelée Toy Soldier. Cette opération regroupe les autorités de cybersécurité et de renseignement de plusieurs pays, dont les États-Unis, le Royaume-Uni, l’Allemagne, l’Estonie, et l’Australie, tous unis pour combattre ces cybermenaces globales.

Les cibles des pirates incluent des services gouvernementaux, des systèmes de transport, ainsi que des secteurs de la santé et de l’énergie au sein des pays membres de l’OTAN. Le DoJ (ministère américain de la Justice) a déjà inculpé cinq officiers du GRU pour leur implication dans ces cyberattaques, dont Yuriy Denisov, colonel de l’armée russe, et quatre autres lieutenants : Vladislav Borovkov, Denis Denisenko, Dmitriy Goloshubov, et Nikolay Korchagin. Tous sont accusés de complot en vue de commettre des intrusions informatiques et des fraudes électroniques contre des cibles ukrainiennes, américaines, et européennes.

L’infrastructure critique sous menace

Le malware WhisperGate, utilisé par Cadet Blizzard, a été conçu pour perturber des systèmes informatiques et effacer des données essentielles. Contrairement aux ransomwares traditionnels, qui demandent une rançon en échange de la restitution des données, WhisperGate est principalement destructeur et vise à rendre les données inaccessibles, aggravant ainsi les perturbations économiques et politiques.

Les pirates informatiques ont également exploité des vulnérabilités dans des systèmes populaires comme Atlassian Confluence, Sophos Firewalls, et Dahua Security pour infiltrer les réseaux des victimes et voler des informations critiques. Les données exfiltrées sont ensuite vendues sur des forums de crimeware ou publiées pour nuire à la réputation des entreprises ciblées.

Une stratégie coordonnée

Pour assurer la réussite de leurs cyberattaques, les membres de Cadet Blizzard s’appuient sur une infrastructure cybercriminelle sophistiquée. Ils exploitent des vulnérabilités connues, comme celles présentes dans les systèmes de Microsoft Outlook Web Access (OWA), pour obtenir des accès non autorisés aux réseaux. Selon les autorités américaines, ces cybercriminels ont utilisé le malware Raspberry Robin pour faciliter les mouvements latéraux dans les réseaux des victimes, leur permettant ainsi d’accéder à des systèmes hautement sécurisés.

En réponse, les agences de cybersécurité recommandent aux organisations de corriger rapidement les vulnérabilités exploitées, de mettre en place une authentification multifacteur robuste et de segmenter les réseaux internes afin de limiter les risques de propagation d’attaques. Les entreprises doivent aussi former leurs employés à reconnaître et signaler les tentatives de phishing, technique de prédilection des cyberpirates pour tromper leurs victimes.

La prime de 10 millions de dollars

Pour intensifier la pression sur le groupe de hackers, le Département d’État américain a promis une récompense pouvant atteindre 10 millions de dollars pour toute information menant à l’arrestation ou à l’identification des membres de Cadet Blizzard. Ce programme, baptisé Récompenses pour la justice, fait partie d’un effort global visant à renforcer la sécurité internationale face à des menaces cybernétiques croissantes.

« Les cybercriminels de Cadet Blizzard sont responsables d’actions de sabotage et d’espionnage menaçant la sécurité mondiale. Leur neutralisation est primordiale pour la sécurité des systèmes critiques », a déclaré un porte-parole du Département d’État.

Les cyberattaques orchestrées par le groupe Cadet Blizzard illustrent la montée en puissance de la guerre cybernétique dans le cadre des conflits modernes. Alors que les gouvernements du monde entier cherchent à sécuriser leurs infrastructures critiques, la coopération internationale et les récompenses pour la justice restent des outils essentiels pour contrer ces cybermenaces. La cyberguerre, avec ses impacts dévastateurs sur les infrastructures et les économies, souligne l’importance d’une vigilance accrue et de réponses coordonnées pour protéger les systèmes et les données sensibles.

Webmaster 0 Comments

Sep 13 2024

Cybercriminalité : Les Hackers Utilisent le Cloud pour Visée la Finance et l’Assurance

Les Pirates Ciblent les Services Cloud : Menace Grandissante pour les Sociétés Financières

Les Cyberattaques Cloud Visent les Secteurs Financiers et d’Assurance : Une Nouvelle Menace

Les pirates informatiques adaptent sans cesse leurs tactiques pour cibler les secteurs les plus rentables. Aujourd’hui, les sociétés financières et d’assurance font face à une menace grandissante : les attaques contre leurs services cloud. En s’introduisant dans les systèmes cloud d’entreprise, les hackers cherchent à obtenir des informations précieuses qu’ils monétisent sous forme de rançon ou revendent sur des plateformes illégales.

Selon les experts en cybersécurité d’Eclectic IQ, un groupe de cybercriminels connu sous le nom de « Scattered Spider » utilise de nouvelles méthodes sophistiquées pour s’en prendre aux services cloud des entreprises. Ce groupe, qui a déjà fait ses preuves en matière de phishing et d’ingénierie sociale, s’attaque désormais à des cibles dans les secteurs financiers et de l’assurance, où les données ont une valeur inestimable.

Scattered Spider : Un Groupe de Cybercriminels Redoutable

Scattered Spider est une APT (Advanced Persistent Threat) bien connue des défenseurs de la cybersécurité. L’un de ses modes opératoires préférés consiste à exploiter les services cloud pour s’introduire dans les systèmes des entreprises. En se concentrant sur les entreprises financières et d’assurances, les cybercriminels visent des gains rapides et significatifs en volant des données sensibles ou en perturbant des services critiques.

Le groupe Scattered Spider utilise couramment des techniques d’ingénierie sociale telles que le vishing (phishing vocal) et le smishing (phishing par SMS) pour tromper ses victimes. En se faisant passer pour des employés légitimes, les pirates parviennent à contourner des mécanismes de sécurité comme l’authentification multifacteur (MFA), ce qui leur permet de prendre le contrôle des réseaux d’entreprise.

Les Méthodes des Hackers pour Accéder aux Services Cloud

Les attaquants utilisent une variété de méthodes pour obtenir un accès aux services cloud des entreprises. L’une des plus courantes consiste à rechercher des jetons d’accès accidentellement laissés dans le code source, notamment sur des plateformes comme GitHub. Les développeurs commettent parfois l’erreur de laisser des informations sensibles dans le code, ce qui peut être rapidement exploité par des hackers.

D’autres méthodes incluent l’achat d’identifiants sur le dark web, issus de campagnes de phishing réussies. Les attaquants, après avoir mis la main sur les identifiants d’accès au cloud, peuvent rapidement prendre le contrôle des systèmes et commencer à extraire des données sensibles. Des campagnes de smishing permettent également aux pirates de voler des mots de passe à usage unique utilisés pour l’authentification multifacteur, rendant ainsi les attaques encore plus efficaces.

Les Cibles des Attaques : Finance et Assurance

Les entreprises financières et d’assurances sont des cibles particulièrement lucratives pour les cybercriminels. Ces secteurs détiennent des volumes considérables de données personnelles et financières, qui peuvent être revendues à prix d’or sur le marché noir ou retenues contre rançon.

Les services cloud tels qu’AWS EC-2, Microsoft EntraID, Okta, ServiceNow, et VMWare Workspace One sont les plateformes fréquemment ciblées. En accédant à ces services, les pirates peuvent voler des informations cruciales, perturber les opérations ou exiger des rançons en échange de la récupération des données.

Protéger Votre Entreprise Contre les Cyberattaques Cloud

La meilleure défense contre ces cyberattaques repose sur une combinaison de bonnes pratiques de sécurité et de technologies avancées. L’authentification multifacteur (MFA) doit être un élément central de la protection des services cloud. En multipliant les couches de sécurité, vous compliquez la tâche des attaquants.

En outre, les développeurs doivent être formés pour ne jamais inclure de jetons d’accès dans le code source. Il est essentiel d’adopter des outils permettant de détecter automatiquement toute information sensible laissée dans le code.

Les entreprises doivent également former leurs employés aux risques de phishing et les encourager à signaler toute tentative suspecte de vishing ou smishing. Une vigilance accrue peut faire toute la différence pour éviter une attaque coûteuse.

L’Importance de la Surveillance et de la Préparation

En plus de mettre en place des systèmes de sécurité robustes, il est crucial de surveiller en permanence les activités suspectes sur les plateformes cloud. Les entreprises peuvent déployer des systèmes de détection des intrusions qui alertent immédiatement les administrateurs en cas d’activité anormale.

Enfin, les entreprises doivent élaborer un plan de réponse aux incidents de cybersécurité. En cas d’attaque réussie, la rapidité de la réponse est cruciale pour limiter les dégâts. Un plan bien défini peut aider à rétablir rapidement l’accès aux données et réduire l’impact financier de l’attaque.

La Sécurité Cloud au Cœur des Préoccupations des Secteurs Financiers et de l’Assurance

Les attaques sur les services cloud représentent une menace sérieuse pour les entreprises des secteurs de la finance et de l’assurance. Alors que les cybercriminels comme Scattered Spider adoptent des tactiques toujours plus sophistiquées, il est plus important que jamais de renforcer la sécurité de vos services cloud. En mettant en œuvre des pratiques de sécurité solides et en restant vigilant face aux menaces émergentes, vous pouvez protéger vos données sensibles et assurer la continuité de vos activités.