Threat Intelligence Executive Report – Volume 2025, Number 4
Mis à jour :
Tendances du paysage des menaces : Mai-Juin 2025
Les recherches sur les menaces ont révélé plusieurs évolutions notables dans le paysage de la cybersécurité.
Points Clés :
Alignement des Noms des Groupes de Menaces : Un effort conjoint entre Microsoft et CrowdStrike vise à unifier les conventions de nommage des groupes de menaces, une initiative soutenue par des efforts similaires de longue date de Secureworks. L’objectif est de clarifier l’attribution et de faciliter la compréhension des campagnes d’attaques. Cependant, la conciliation des différentes nomenclatures reste complexe en raison des observations propres à chaque fournisseur et de l’évolution des tactiques des groupes.
Menaces d’Iran contre les États-Unis : Suite aux frappes israéliennes sur des installations iraniennes et aux contre-attaques américaines, l’Iran a menacé de représailles contre les intérêts américains. Cela accroît le risque d’attaques cybernétiques de la part d’acteurs iraniens, y compris des campagnes de défiguration, de destruction de données (wiper), de rançongiciels (ransomware) et de déni de service distribué (DDoS). Les entreprises de la base industrielle de la défense et celles perçues comme soutenant les intérêts américains ou israéliens au Moyen-Orient sont particulièrement exposées. Des groupes comme Cyber Av3ngers sont cités pour leurs attaques utilisant des technologies opérationnelles d’origine israélienne.
Tactiques des Forces de l’Ordre : Les forces de l’ordre continuent de cibler les opérations de cybercriminalité, mais leur impact à long terme varie. Bien que des saisies de domaines, comme celles visant l’opérateur d’infostealer LummaC2, soient effectuées, certains groupes parviennent à se rétablir rapidement. Les arrestations d’individus derrière des plateformes comme BreachForums ne garantissent pas l’arrêt de leurs activités. L’utilisation de la moquerie et de l’humiliation publique, comme dans l’opération Cronos contre LockBit, s’avère efficace pour nuire à la réputation des cybercriminels et réduire le nombre d’affiliés, bien que les attaques de rançongiciels globales continuent d’augmenter.
Vulnérabilités :
Bien que l’article ne mentionne pas de vulnérabilités spécifiques avec des CVE, il aborde implicitement les risques liés à :
- L’utilisation de technologies opérationnelles (OT) de fournisseurs spécifiques (ex: Israeli-made operational technology tels que les automates programmables industriels (API)).
- La prévalence des infostealers comme LummaC2, qui servent souvent de précurseurs aux attaques de rançongiciels.
Recommandations :
- Se référer aux profils de groupes de menaces de Secureworks pour une compréhension approfondie de leurs missions et de leurs tactiques, techniques et procédures (TTP).
- Consulter les publications de la CISA concernant l’Iran et les menaces qu’il représente.
- Assurer la capacité à détecter les infostealers courants tels que LummaC2, car ils précèdent souvent les attaques de rançongiciels.
- Maintenir une vigilance accrue et s’assurer que les défenses cybernétiques appropriées sont en place pour les organisations potentiellement ciblées par des représailles iraniennes.