Storm-0501 passe du ransomware traditionnel à l’extorsion basée sur le cloud

Microsoft a averti que l’acteur de menace Storm-0501 a fait évoluer ses opérations, délaissant le chiffrement ransomware sur site pour se concentrer sur des attaques basées sur le cloud. Au lieu de déployer des malwares pour verrouiller les fichiers, le groupe détourne désormais des fonctions cloud natives afin de voler des données, effacer des sauvegardes et chiffrer des comptes de stockage avec des clés gérées par les clients. Les victimes sont ensuite contraintes de payer une rançon pour retrouver l’accès.

Actif depuis 2021, Storm-0501 a auparavant utilisé des familles de ransomware telles que Sabbath, Hive et LockBit. Toutefois, les campagnes récentes montrent un ciblage des environnements Microsoft Entra ID et Azure. En exploitant des déploiements faibles de Microsoft Defender et en compromettant des comptes privilégiés, les attaquants ont obtenu un contrôle administratif, désactivé les défenses et détruit les options de restauration.

Ce changement met en lumière une tendance croissante où les groupes d’extorsion abandonnent les ransomwares traditionnels au profit de méthodes plus furtives et cloud natives, plus difficiles à bloquer. Microsoft a partagé des conseils de détection et souligné l’importance d’une MFA solide et de défenses cloud robustes.

Découverte du premier ransomware alimenté par l’ia : promptlock

Les chercheurs d’ESET ont découvert le premier ransomware alimenté par l’intelligence artificielle, baptisé PromptLock, qui exploite le modèle gpt-oss:20b d’OpenAI pour générer des scripts malveillants à la demande. Écrit en Golang, le malware se connecte via l’API Ollama et utilise des invites codées en dur pour produire dynamiquement des scripts Lua destinés à l’exploration des systèmes de fichiers, au vol de données et au chiffrement. Fait notable, PromptLock utilise l’algorithme léger SPECK 128 bits, un chiffrement faible rarement utilisé dans les ransomwares, ce qui suggère qu’il s’agit encore d’un proof-of-concept plutôt que d’une menace active.

ESET a trouvé l’échantillon sur VirusTotal et a confirmé qu’il n’a pas été déployé dans des attaques réelles. D’autres éléments – notamment un portefeuille Bitcoin lié à Satoshi Nakamoto et l’absence de fonctionnalité de destruction des données – renforcent l’idée qu’il s’agit d’un projet expérimental. Toutefois, PromptLock est significatif car il démontre comment l’IA générative peut être utilisée comme arme dans les malwares, offrant une portée multiplateforme et une flexibilité opérationnelle.

Cette découverte fait suite au rapport du CERT ukrainien sur LameHug, un autre outil basé sur des LLM attribué à APT28, ce qui laisse penser à une tendance émergente.

Cyberattaque contre miljödata : 200 municipalités suédoises touchées

Une cyberattaque contre le fournisseur suédois de systèmes informatiques Miljödata a perturbé les services dans plus de 200 municipalités, suscitant des inquiétudes concernant le vol de données personnelles sensibles. Les attaquants auraient exigé une rançon de 1,5 Bitcoin (environ 168 000 dollars) afin d’éviter la divulgation des informations volées.

Miljödata, qui fournit des systèmes de gestion RH et de gestion de l’environnement de travail à près de 80 % des municipalités suédoises, prend en charge des fonctions critiques telles que les certificats médicaux, les déclarations d’accidents du travail et la gestion des dossiers de réhabilitation. Le PDG Erik Hallén a confirmé l’attaque le 25 août, indiquant que l’entreprise travaille avec des experts externes pour enquêter sur l’incident et rétablir les systèmes.

Plusieurs régions, dont Halland et Gotland, ont averti leurs citoyens que des données sensibles pourraient avoir été compromises. Le ministre suédois de la défense civile, Carl-Oskar Bohlin, a annoncé que le CERT-SE et la police évaluaient l’impact. Aucun groupe de ransomware n’a revendiqué l’attaque, et le site web ainsi que les serveurs de messagerie de Miljödata restent hors ligne.

Shadowsilk cible les gouvernements d’asie centrale et de la région apac

Les chercheurs ont attribué une vague de cyberattaques contre des entités gouvernementales en Asie centrale et dans la région Asie-Pacifique à un cluster de menaces baptisé ShadowSilk. Près d’une trentaine de victimes ont été identifiées en Ouzbékistan, au Kirghizistan, au Myanmar, au Tadjikistan, au Pakistan et au Turkménistan, les intrusions visant principalement le vol de données.

ShadowSilk présente de fortes similitudes avec des groupes déjà suivis tels que YoroTrooper, SturgeonPhisher et Silent Lynx. Selon les analystes, l’opération est menée par une équipe bilingue : des développeurs russophones liés au code hérité de YoroTrooper et des opérateurs sinophones menant les intrusions actives.

Les attaques commencent généralement par des e-mails de spear-phishing contenant des archives protégées par mot de passe, menant à des loaders personnalisés qui masquent le trafic C2 derrière des bots Telegram. Le groupe exploite des failles connues dans Drupal et des plugins WordPress, et utilise un large arsenal d’outils incluant Cobalt Strike, Metasploit et des voleurs de mots de passe personnalisés.

La nsa et le ncsc attribuent les campagnes de piratage salt typhoon à des entreprises chinoises

La NSA américaine, le NCSC britannique et les agences de cybersécurité de 13 nations ont attribué les campagnes d’espionnage Salt Typhoon à trois entreprises technologiques chinoises : Sichuan Juxinhe Network Technology, Beijing Huanyu Tianqiong Information Technology et Sichuan Zhixin Ruijie Network Technology. Selon des avis conjoints, ces sociétés ont soutenu le ministère chinois de la Sécurité d’État et l’Armée populaire de libération dans des opérations cyber visant des réseaux gouvernementaux, des télécommunications, des transports et des infrastructures militaires dans le monde entier.

Actif depuis au moins 2021, Salt Typhoon a exploité des vulnérabilités largement connues et déjà corrigées dans des équipements Ivanti, Palo Alto et Cisco pour maintenir une persistance et voler des données sensibles. Plutôt que d’utiliser des zero-days, le groupe abuse d’appareils en périphérie non corrigés, crée des tunnels, collecte du trafic d’authentification et déploie des outils SFTP personnalisés en Golang.

La NSA et le NCSC avertissent que Salt Typhoon reste hautement efficace et exhortent les organisations à donner la priorité au patching, à restreindre les services de gestion, à désactiver les fonctions Cisco héritées et à surveiller activement les signes de compromission.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger des menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou bien contactez-nous pour découvrir comment vous pouvez protéger votre organisation.

Le bulletin d'information sur les menaces a été préparé par Integrity360 et résume l'actualité des menaces telle que nous l'observons à la date de publication. Il ne doit pas être considéré comme un avis juridique, consultatif ou professionnel. Toute recommandation doit être examinée dans le contexte de votre propre organisation. Integrity360 n'adopte aucune position politique dans les informations que nous partageons. De plus, les opinions exprimées ne reflètent pas nécessairement le point de vue d'Integrity360.