Le CERT Advens publie tous les mois une synthèse des travaux de veille réalisé par son pôle CTI. Le bulletin détaillé est disponible en libre téléchargement en bas de cet article.
Le mois de juin a été marqué par une activité accrue de la porte dérobée Emotet, qui prend ainsi la première place du TOP 10 des maliciels les plus utilisés, devant FORMBOOK.
L’activité ransomware est dominée par le groupe Lockbit, comptabilisant 923 cyberattaques revendiquées. Les trois pays les plus impactés sont les Etats-Unis, l’Allemagne et le Royaume-Uni. En mai et juin dernier, plusieurs expertises ont évoqué la réorganisation de groupe utilisant le rançongiciel Conti. Selon Advanced Intelligence, ce groupe serait en train de devenir un réseau décentralisé, à l’opposé du modèle économique du traditionnel Ransomware as a Service (RaaS).
Le CERT Ukrainien a mis en lumière des campagnes d’hameçonnage orchestrées par les groupes russes APT 28 et UAC-0098 contre l’Ukraine. Ces campagnes ont utilisé la faille Follina pour compromettre les terminaux des victimes.
Une récente analyse réalisée par Secureworks mentionne une possible manœuvre de cyber-espionnage : deux APT chinois, 41 et 10, auraient utilisé des rançongiciels pour dissimuler leurs véritables intentions.
La société de sécurité Kaspersky a mis en exergue l’activité d’un nouvel APT : Toddycat. Ce dernier a ciblé principalement depuis décembre 2020, des infrastructures Microsoft exchange d’entités gouvernementales et militaires en Asie et en Europe. Ces infrastructures présentaient une vulnérabilité (ProxyLogon) qui a permis de déployer les portes dérobées Samouraï et Ninja.
