Notes of cyber inspector: three clusters of threat in cyberspace
Mis à jour :
Évolution des Menaces Cybernétiques : Trois Clusters d’Acteurs Malveillants
L’année 2025 voit une escalade des menaces cybernétiques, avec une interconnexion croissante entre les groupes de hacktivistes et les acteurs motivés par le profit. Cette convergence crée des campagnes plus complexes et disruptives, ciblant aussi bien les infrastructures critiques que les citoyens. Une analyse approfondie a permis d’identifier trois clusters distincts d’acteurs malveillants, caractérisés par leurs tactiques, techniques et procédures (TTPs).
Points Clés :
- Montée du Hacktivisme et des Groupes APT: L’implication croissante des groupes de hacktivisme dans les conflits géopolitiques est observée, notamment dans le contexte du conflit ukraino-russe, entraînant une augmentation des activités pro-ukrainiennes et pro-russes.
- Convergence des Motivations: Les hacktivistes collaborent de plus en plus avec des groupes criminels, partageant outils, infrastructures et ressources. Ces “groupes à double objectif” peuvent viser le rançonnage, la destruction de données, ou la fuite d’informations.
- Ciblage Étendu: Bien que la Russie soit une cible fréquente, des groupes comme CloudAtlas et XDSpy étendent leurs opérations à des pays d’Europe, d’Asie et du Moyen-Orient, avec des traces d’infections détectées en Slovaquie et en Serbie en 2024.
Identification des Clusters :
- Cluster I : Regroupe les hacktivistes et les groupes à double objectif partageant une infrastructure commune, une suite logicielle unique, des processus similaires et des TTPs distinctives.
- Cluster II : Composé de groupes APT distincts des hacktivistes, incluant des APT simples (utilisant des utilitaires tiers et des scripts) et des APT plus sophistiqués (avec des TTPs uniques).
- Cluster III : Englobe les groupes de hacktivistes n’ayant montré aucun signe de collaboration avec les autres groupes étudiés.
Vulnérabilités :
L’article ne détaille pas de vulnérabilités spécifiques avec des identifiants CVE. Il met l’accent sur les TTPs utilisées par les groupes, telles que le partage d’infrastructure, l’utilisation de suites logicielles communes, ou l’emploi d’utilitaires tiers.
Recommandations :
- Accès aux Informations sur les TTPs: Fournir aux équipes SOC un accès aux flux de renseignement sur les menaces les plus récents provenant de sources fiables.
- Solutions de Sécurité Complètes: Utiliser une solution de sécurité intégrée offrant surveillance centralisée, détection et réponse avancées, et outils d’investigation d’incidents (ex: Kaspersky NEXT XDR).
- Protection des Systèmes Industriels: Déployer des solutions spécialisées pour la sécurité des systèmes d’automatisation industrielle (ex: Kaspersky Industrial CyberSecurity - KICS).
- Sensibilisation des Employés: Mener des formations régulières sur la cybersécurité pour réduire le risque d’attaques par hameçonnage et d’ingénierie sociale.