Holiday Hackers : Dans les coulisses du blitz de reconnaissance Ă 240 exploits qui alimente la prochaine vague de ransomwares
Pendant les vacances de NoĂ«l, un cybercriminel solitaire a scannĂ© le globe avec des centaines dâexploits - faisant le plein de vulnĂ©rabilitĂ©s pour de futures attaques par ransomware.
Alors que la plupart du monde dĂ©ballait des cadeaux et savourait les restes de dinde, quelquâun dâautre dĂ©ballait Internet. Entre le 25 et le 28 dĂ©cembre, un seul acteur malveillant a lancĂ© une campagne de reconnaissance Ă lâĂ©chelle industrielle, sondant systĂ©matiquement les points faibles numĂ©riques. Cette opĂ©ration, consignant mĂ©ticuleusement chaque exploit rĂ©ussi sur plus de 240 vulnĂ©rabilitĂ©s, nâĂ©tait pas un acte alĂ©atoire de vandalisme informatique - câĂ©tait une opĂ©ration calculĂ©e dâapprovisionnement pour la pĂšgre du ransomware.
Comment fonctionne le racket de reconnaissance
Ce nâĂ©tait pas une attaque de ransomware ordinaire. Avant que des fichiers ne soient chiffrĂ©s ou que des rançons ne soient exigĂ©es, lâĂ©conomie du ransomware repose sur une classe obscure dâopĂ©rateurs appelĂ©s Initial Access Brokers (IAB). Leur mission ? Rechercher et cataloguer systĂ©matiquement les systĂšmes vulnĂ©rables, puis vendre ce savoir au plus offrant - souvent des groupes de ransomware avides dâun raccourci pour contourner les dĂ©fenses des entreprises.
Pendant NoĂ«l, lâopĂ©rateur observĂ© a utilisĂ© deux adresses IP de CTG Server Limited - un fournisseur dâinfrastructure dĂ©jĂ tristement cĂ©lĂšbre pour hĂ©berger des opĂ©rations douteuses. Avec des requĂȘtes toutes les 1 Ă 5 secondes, lâattaquant a soumis chaque cible Ă une batterie de 11 types dâexploits diffĂ©rents par scan, confirmant les succĂšs via des dizaines de milliers de domaines de rappel liĂ©s Ă la plateforme Interactsh de ProjectDiscovery. Lâattaque Ă©tait si mĂ©thodique que les chercheurs ont pu identifier les outils : des scanners Nuclei open source, dĂ©ployĂ©s Ă grande Ă©chelle pour lâexploitation massive.
La campagne sâest dĂ©roulĂ©e en deux vagues : une premiĂšre offensive le jour de NoĂ«l utilisant les deux IPs, suivie dâune seconde poussĂ©e, plus ciblĂ©e, 12 heures plus tard, ajoutant mĂȘme 13 nouveaux exploits oubliĂ©s lors du premier passage. Les empreintes numĂ©riques - signatures JA4 et identifiants de machines - dĂ©signent un seul opĂ©rateur hautement organisĂ©, et non une Ă©quipe de hackers dispersĂ©e.
Pourquoi les fĂȘtes sont le moment idĂ©al pour les hackers
Les cybercriminels avisĂ©s savent que les Ă©quipes informatiques sont au minimum pendant les fĂȘtes. Les alertes de sĂ©curitĂ© peuvent passer inaperçues, les journaux sont analysĂ©s avec retard, et la rĂ©ponse aux incidents est lente. Cette fenĂȘtre de quatre jours a offert Ă lâattaquant une quasi-libertĂ© pour mettre Ă jour son âinventaireâ de systĂšmes vulnĂ©rables, avec lâespoir que ces nouvelles pistes alimenteront lâĂ©cosystĂšme du ransomware pendant des mois - voire des annĂ©es.
La rĂ©putation de CTG Server Limited pour son laxisme en matiĂšre de contrĂŽle des abus en fait un aimant Ă activitĂ©s illicites, et lâampleur de cette opĂ©ration montre Ă quel point la chaĂźne dâapprovisionnement du ransomware sâest professionnalisĂ©e. Les donnĂ©es de vulnĂ©rabilitĂ© rĂ©coltĂ©es circulent probablement dĂ©jĂ sur les places de marchĂ© criminelles - peut-ĂȘtre mĂȘme entre les mains dâacteurs Ă©tatiques visant des infrastructures critiques.
Et maintenant ?
Pour les dĂ©fenseurs, le message est clair : examinez les journaux de serveurs et de DNS Ă la recherche des IPs identifiĂ©es et des requĂȘtes suspectes vers des domaines OAST pendant la pĂ©riode des fĂȘtes. Toute correspondance suggĂšre quâun attaquant sait dĂ©jĂ comment sâintroduire. LâĂ©conomie du ransomware prospĂ©rant sur ce type de reconnaissance, chaque alerte manquĂ©e pourrait devenir la brĂšche Ă plusieurs millions de demain.
WIKICROOK
- Initial Access Broker (IAB) : Un Initial Access Broker est un cybercriminel qui sâintroduit dans des systĂšmes et revend cet accĂšs Ă dâautres, permettant ainsi de futures cyberattaques.
- Exploit : Un exploit est une technique ou un logiciel qui exploite une vulnĂ©rabilitĂ© dâun systĂšme pour obtenir un accĂšs, un contrĂŽle ou des informations non autorisĂ©s.
- OAST (Out : OAST dĂ©tecte les vulnĂ©rabilitĂ©s des applications web en observant comment les systĂšmes rĂ©agissent et communiquent via des canaux hors du trafic web habituel, comme le DNS ou lâemail.
- Nuclei : Nuclei est un outil open source dâanalyse automatisĂ©e de vulnĂ©rabilitĂ©s, utilisant des modĂšles pour dĂ©tecter les failles dans les applications web, les API et lâinfrastructure rĂ©seau.
- Empreinte JA4 : Lâempreinte JA4 est une mĂ©thode permettant dâidentifier de façon unique des logiciels ou des appareils en analysant leurs schĂ©mas de trafic rĂ©seau, facilitant la dĂ©tection de menaces et la reconnaissance dâappareils.
