RANSOMWARES, PHISHING, ADR KILLERS : LA TEMPETE NUMERIQUE S'INTENSIFIE ...

​🤖​ Chers internautes et les amis Cyber-défenseurs,

La semaine dernière, nos radars ont intercepté des signaux inquiétants. L’un de nos meilleurs agents, Troy Hunt, est tombé dans une embuscade. Un leurre parfaitement exécuté l’a piégé. Pendant ce temps, en orbite russe, le groupe RedCurl change de doctrine : fini l'espionnage silencieux, place aux frappes chirurgicales par ransomware. QWCrypt est déployé. Objectif : neutraliser des infrastructures entières en quelques minutes.

Sur le front des EDR, les bastions de défense tombent un à un. Les gangs Medusa, BianLian et Play partagent un même artefact maudit : EDRKillShifter. Cette arme démoniaque désactive nos boucliers avant même que l’alerte ne soit lancée.

Mais tout n’est pas perdu. Une alliance stratégique se renforce : Orange Cyberdefense obtient une certification d’élite sur la plateforme XSIAM. L'IA devient notre commandant de soutien, automatisant l’analyse des menaces à la vitesse de la lumière. Et dans nos bases, les officiers de sécurité implémentent une nouvelle doctrine : le Privileged Access Management. Contrôle total. Tolérance zéro.

Rejoignez l’élite. Parcourez cette newsletter comme un rapport d’opération. Et souvenez-vous : dans la guerre cybernétique, chaque clic est une décision tactique.

Les grandes lignes :

👉 RedCurl passe du renseignement au ransomware 😈

👉 Les gangs ransomware se partagent les EDR Killers comme un cheat code 🎮

👉 Troy Hunt victime d’un phishing ? 🎯

👉 Orange Cyberdefense propulsé au sommet mondial 🟠

👉 PAM : l’arme ultime contre les menaces internes ?🔐

Si on t’a transféré cette lettre, abonne-toi en cliquant sur ce lien !

🗞️​Vous savez quoi ?

Daily News for Curious Minds

Be the smartest person in the room by reading 1440! Dive into 1440, where 4 million Americans find their daily, fact-based news fix. We navigate through 100+ sources to deliver a comprehensive roundup from every corner of the internet – politics, global events, business, and culture, all in a quick, 5-minute newsletter. It's completely free and devoid of bias or political influence, ensuring you get the facts straight. Subscribe to 1440 today.

Sign up now!

🤓​ Vous voulez en savoir plus ?

1️⃣ RedCurl passe du renseignement au ransomware avec QWCrypt 

Résumé : 

Le groupe RedCurl, connu pour ses campagnes d’espionnage ciblé depuis 2018, effectue un virage historique. Pour la première fois, ce groupe russophone injecte du ransomware dans son arsenal avec une nouvelle souche baptisée QWCrypt. Bitdefender a observé cette transition, qui marque une rupture dans le mode opératoire de RedCurl, passant de l’exfiltration discrète de données à la paralysie directe des systèmes. Avec des tactiques de spear-phishing perfectionnées et l’usage de techniques avancées comme le DLL side-loading et le BYOVD, RedCurl montre qu’il est prêt à jouer dans la cour des ransomwares destructeurs.

Les détails :

1. Une campagne déguisée en recrutement : Le groupe RedCurl utilise des fichiers ISO travestis en CV pour déployer son attaque. Ces images contiennent un faux fichier SCR, qui n’est autre qu’une copie du binaire ADNotificationManager.exe. Ce dernier sert de vecteur pour exécuter une DLL malveillante via un mécanisme de side-loading, permettant ainsi une exécution discrète. Cette stratégie sophistiquée est conçue pour tromper l’utilisateur ciblé et contourner les mécanismes de détection traditionnels.

2. Une ruse psychologique via Indeed : Une fois exécuté, le malware redirige la victime vers la vraie page de login d’Indeed. Ce leurre bien pensé neutralise l’attention de la cible, lui donnant l’illusion qu’elle consulte simplement un CV, pendant que le malware installe sa charge utile. Cette tactique sociale améliore la discrétion du malware pendant l’exécution.

3. Persistance et élévation : Le loader (netutils.dll) crée une tâche planifiée pour maintenir l’accès persistant et télécharge un second fichier malveillant, exécuté via le "Program Compatibility Assistant" (pcalua.exe), une méthode encore peu exploitée, détaillée par Trend Micro. L’objectif : explorer le réseau, collecter des informations et préparer une extension de l’attaque.

4. Ransomware ciblé sur infrastructure virtuelle : Dans un cas documenté, RedCurl chiffre directement les machines virtuelles hébergées sur les hyperviseurs, rendant l’ensemble du parc inutilisable. Ce ciblage tactique maximise l’impact en interrompant tous les services numériques en un seul mouvement. Cette précision d’attaque révèle une montée en compétence technique impressionnante.

5. Une note de rançon déroutante : Le fichier de rançon emprunte des éléments à LockBit, HardBit et Mimic, sans pour autant être associé à un leak site dédié. Bitdefender s’interroge sur la sincérité de l’extorsion : véritable demande de rançon ou simple écran de fumée pour masquer d'autres objectifs ? Le mystère reste entier.

Que faut-il en retenir ?

Le passage de RedCurl au ransomware n’est pas anodin. Il marque une transition stratégique qui brouille les frontières entre espionnage, sabotage et extorsion. Cette évolution montre que les groupes APT traditionnels peuvent adapter leurs tactiques pour maximiser l’impact économique. Le recours à des techniques d’ingénierie sociale soignées et à des mécanismes complexes de persistance suggère une organisation mature, techniquement compétente et potentiellement motivée par des objectifs hybrides. Pour les SOCs et les RSSI, cette mutation implique une révision urgente des modèles de détection, notamment face aux malwares camouflés dans des fichiers banals comme les CV ou les pièces jointes PDF.

2️⃣ Les gangs ransomware se partagent les EDR Killers comme un cheat code 

Résumé :

L’arsenal des groupes ransomware ne cesse de se professionnaliser, et une tendance inquiétante se confirme : l’adoption généralisée d’outils conçus pour désactiver les solutions EDR (Endpoint Detection & Response). ESET a identifié l’outil "EDRKillShifter", utilisé par plusieurs groupes majeurs comme RansomHub, Play, Medusa et BianLian. Ces outils rendent aveugles les systèmes de sécurité avant de lancer les attaques. Dans un contexte post-LockBit et BlackCat, où les RaaS se recomposent, cette mutualisation des outils d’évasion illustre une nouvelle ère de collaboration malveillante et de sophistication des attaques.

Les détails :

1. L’arme commune d’un cartel de ransomware : Initialement conçu pour les affiliés de RansomHub, EDRKillShifter est un outil sur mesure qui désactive les solutions EDR via un shellcode protégé par mot de passe. Il est désormais partagé entre plusieurs groupes ransomware. Qu’est-ce que cela signifie ? Soit une vente croisée, soit de l’existence d’un acteur unique opérant pour différents collectifs.

2. L’émergence du profil QuadSwitcher : ESET soupçonne fortement que les attaques sont orchestrées par un même affilié opérant pour les quatre groupes. Ce profil, baptisé "QuadSwitcher", met en lumière la porosité entre les entités cybercriminelles. Le modèle RaaS permet à un acteur unique d’opérer pour plusieurs marques de ransomware.

3. Les codes sont recyclés à l’échelle : ESET note une explosion du nombre de variants d’EDR killers. La raison ? Plus de 1 700 pilotes vulnérables sont exploitables. Les attaquants choisissent les plus fiables, souvent basés sur du code PoC public, pour les intégrer sans effort dans leurs kits d’attaque.

4. Une couche d’attaque dynamique : Contrairement aux encryptors eux-mêmes qui restent souvent inchangés (pour éviter les bugs critiques), la couche préliminaire de l’attaque — celle qui neutralise la défense — ne cesse d’évoluer. Les cybercriminels misent donc sur l’agilité offensive plutôt que sur des innovations dans le chiffrement.

5. Une seule autre plateforme RaaS propose un EDR Killer intégré : En dehors de RansomHub, seul Embargo a intégré un EDR Killer nommé MS4Killer. Bien que moins actif (14 victimes connues), cette fonctionnalité devient un critère de différenciation sur le marché du RaaS. La tendance est claire : les EDR doivent désormais se défendre avant même le début de l’attaque.

Que faut-il en retenir ?

L’essor des EDR killers comme EDRKillShifter symbolise la professionnalisation extrême du cybercrime. On assiste à une véritable industrialisation du RaaS, où les outils sont partagés, mutualisés, intégrés dans des plateformes commerciales. Cela transforme les groupes ransomware en écosystèmes fonctionnels. Pour les responsables de la sécurité, cela implique que les solutions de protection traditionnelles ne suffisent plus. Il devient vital d’adopter des stratégies défensives multi-couches, de renforcer les capacités EDR avec des mécanismes de résilience active et de surveiller les comportements anormaux même si aucun fichier malveillant n’est détecté.

3️⃣ ​Troy Hunt victime d’un phishing ? Personne n’est à l’abri 

Résumé :

Troy Hunt, figure emblématique de la cybersécurité et fondateur du site Have I Been Pwned?, a été piégé par un email de phishing soigneusement orchestré. L’incident, relayé par son propre blog, a permis aux attaquants de subtiliser l’intégralité de sa mailing list gérée via Mailchimp. Ce qui choque dans cette affaire, ce n’est pas le vol de données, mais la cible : un expert mondialement reconnu, rompu à l’exercice de la détection des menaces. Cet événement illustre la montée en puissance des techniques de phishing et la capacité des attaquants à manipuler même les plus aguerris.

Les détails :

1. Un faux email crédible, pas alarmiste : L’email frauduleux prétendait que les droits d’envoi de Mailchimp étaient suspendus suite à une plainte. Plutôt que d’user d’un ton alarmiste classique, il exploitait subtilement la peur de l’interruption de service, poussant Troy à "vérifier" ses campagnes. Cette approche dosée a contourné les réflexes habituels d’un expert.

2. Le lien piégé et le détail qui aurait dû alerter : Le lien redirigeait vers "mailchimp-sso.com", un domaine frauduleux bien conçu. Troy note que son gestionnaire de mots de passe (1Password) n’a pas rempli automatiquement ses identifiants, un signal qu’il aurait dû considérer comme suspect.

3. Réaction rapide, mais impact immédiat : Même s’il a changé ses mots de passe immédiatement après avoir réalisé l’arnaque, les attaquants avaient déjà exporté les 16 000 contacts de sa liste d’envoi. Pire encore, les adresses désabonnées ont aussi été récupérées, soulevant des questions sur la gestion des données par Mailchimp.

4. Réflexion post-incident et leçons tirées : Dans son billet, Troy souligne que la qualité des attaques de phishing s’est nettement améliorée, s’éloignant des caricatures grossières du passé. L’incident montre qu’un contexte crédible, un bon timing et une légère pression peuvent suffire à tromper même un professionnel expérimenté.

5. Un danger grandissant, même pour les pros : Erich Kron (KnowBe4) rappelle que les informations volées dans des fuites précédentes servent aujourd’hui à cibler précisément les individus. Nom, entreprise, poste, événements… tout est utilisé pour construire des scénarios plausibles. La frontière entre attaque opportuniste et campagne ciblée devient floue.

Que faut-il en retenir ?

Cette attaque prouve qu’aucun niveau d’expertise ne protège totalement contre l’ingénierie sociale. Le facteur humain reste le maillon faible, surtout quand les attaquants adoptent des stratégies subtiles, réalistes, et personnalisées. Les outils techniques (MFA, gestionnaires de mots de passe, filtres anti-spam) doivent être renforcés par une hygiène comportementale constante, une méfiance saine et un entraînement régulier à la détection des signaux faibles.

4️⃣ ​Orange Cyberdefense propulsé au sommet mondial par XSIAM 

Résumé : 

Orange Cyberdefense a obtenu une distinction stratégique : la reconnaissance globale de sa spécialisation dans Cortex XSIAM, la plateforme de Palo Alto Networks dédiée à la gestion autonome et intelligente des opérations de sécurité. Déjà déployée chez dix clients à l’échelle mondiale, cette solution intègre XDR, SOAR, ASM et SIEM dans un même environnement. Cette avancée technologique positionne Orange comme un partenaire de premier plan pour les entreprises confrontées à la complexité croissante des cybermenaces. Une reconnaissance qui illustre l’évolution des SOCs vers l’automatisation, la centralisation et l’optimisation basée sur l’IA.

Les détails :

1. Une expertise validée sur Cortex XSIAM à l’échelle mondiale : Orange Cyberdefense a été nommé “NextWave Cortex XSIAM Select Partner”, à la fois pour la zone Asie-Pacifique et globalement. Cela témoigne d’une maîtrise avancée de cette technologie, à la fois dans sa mise en œuvre et son exploitation en tant que service managé (MSSP).

2. Une réponse à l’explosion des alertes SIEM : Les SIEM traditionnels génèrent plus de 1 000 alertes par jour. Ce volume n’est plus humainement traitable. XSIAM automatise le traitement via le machine learning, permettant aux analystes de se concentrer sur les incidents réellement critiques, et d’accélérer le temps de remédiation.

3. Une solution intégrée tout-en-un : XSIAM combine des briques jusqu’ici séparées : Extended Detection & Response (XDR), orchestration (SOAR), gestion de surface d’attaque (ASM), et SIEM. Résultat : moins de consoles, moins de frictions, et une vue consolidée des menaces pour une détection proactive.

4. Des bénéfices tangibles pour les clients : Orange déploie XSIAM dans des environnements critiques et globaux. Les clients gagnent en efficacité opérationnelle, en visibilité, et réduisent les risques grâce à l’automatisation intelligente. Le gain en temps et en précision transforme l’approche classique de la cybersécurité défensive.

5. Un partenariat stratégique pour l’avenir : Selon Palo Alto Networks, les partenaires comme Orange jouent un rôle-clé dans la transformation des centres de sécurité (SOC). Leur expertise terrain et leur capacité d’intégration leur permet de maximiser l’impact de la technologie XSIAM, en l’alignant avec les besoins métiers.

Que faut-il en retenir ?

La montée en puissance d’Orange Cyberdefense dans l’écosystème XSIAM symbolise un virage vers l’industrialisation de la cybersécurité par l’IA. L’enjeu n’est plus de collecter des alertes, mais de les corréler, les hiérarchiser et d’y répondre en temps réel. Cette reconnaissance globale consacre la capacité d’Orange à opérer à l’échelle, avec un niveau de maturité technologique rare. Dans un cyber-paysage saturé de signaux faibles et de faux positifs, XSIAM pourrait bien représenter le standard de demain pour des SOCs plus intelligents, autonomes et efficaces.

5️⃣ L’arme ultime contre les menaces internes... et bien plus encore 

Résumé : 

Les menaces internes, souvent sous-estimées, représentent pourtant le risque le plus coûteux en cybersécurité. En 2024, elles causent en moyenne 4,99 millions de dollars de dommages par incident. Qu’il s’agisse d’employés négligents, malveillants ou compromis, les comptes à privilèges restent la porte d’entrée idéale pour des attaques destructrices. C’est ici qu’intervient le Privileged Access Management (PAM), une solution conçue pour reprendre le contrôle sur les accès sensibles. Plus qu’un simple outil de restriction, PAM devient un pilier stratégique pour les RSSI en quête de résilience, de conformité et de sérénité opérationnelle.

Les détails :

1. Cartographier l’invisible : Nombreuses sont les entreprises à ignorer l’existence de comptes à privilèges orphelins ou cachés. Les solutions PAM les identifient automatiquement, réduisant ainsi la surface d’attaque exploitable par un agent interne ou externe. Une visibilité accrue, c’est déjà un premier rempart.

2. Application du principe du moindre privilège (PoLP) : Le PoLP garantit que chaque utilisateur n’obtient que les accès nécessaires à sa mission. Les solutions PAM permettent de moduler dynamiquement les autorisations, réduisant drastiquement les risques liés aux accès permanents non justifiés.

3. PAM juste-à-temps : Les accès persistants sont une faille majeure. Le modèle just-in-time de PAM permet d’accorder un accès temporaire à des ressources critiques pour des tâches précises, puis de le révoquer automatiquement après exécution. Cela limite les risques de dérive ou d’exploitation.

4. Supervision et réponse automatisée aux comportements à risque : Les plateformes comme Syteca intègrent un monitoring temps réel des sessions privilégiées. En cas d’activité suspecte, elles déclenchent des alertes, bloquent les utilisateurs, voire désactivent des périphériques non approuvés, comme des clés USB. Une sécurité proactive, pas seulement réactive.

5. Protection de l’accès à distance et rotation des mots de passe : Avec le télétravail et les prestataires externes, l’accès distant est incontournable. PAM encadre ces connexions en imposant un contrôle fort (MFA, durée limitée) et en sécurisant les identifiants via un coffre-fort chiffré, couplé à une rotation régulière des mots de passe.

Que faut-il en retenir ?

Le PAM n’est plus une option : c’est une exigence stratégique face à la complexité des environnements numériques modernes. En réduisant la surface d’attaque interne, en renforçant les contrôles d’accès et en automatisant la surveillance, il offre une triple promesse : sécurité, conformité, efficacité. Au-delà de la simple protection, PAM devient un facilitateur pour les équipes IT, libérant du temps, améliorant la productivité et alignant la sécurité sur les objectifs métier. Pour les DSI et RSSI, investir dans le PAM, c’est bâtir une défense durable et intelligente contre un ennemi souvent trop proche pour être vu.

LIEUTENANT AU RAPPORT 🏆

Cybi – L’IA prédictive née en Lorraine

Cybi est une startup française spécialisée dans la gestion continue des menaces Cybi, pour Cybersécurité Intelligente, est une startup française fondée en 2022, issue du laboratoire commun RESIST (Inria + Loria). Elle développe un outil d’aide à la décision pour les centres opérationnels de sécurité (SOC) des grandes entreprises. Grâce à sa technologie brevetée nommée Scuba, Cybi anticipe les attaques complexes en chaîne à partir d’analyses de vulnérabilités croisées. L’objectif est simple : prédire les scénarios d’intrusion avant qu’ils ne surviennent, et prioriser les actions de défense. Avec un moteur dopé à l’intelligence artificielle, Cybi transforme des millions de données non structurées (notamment issues des CVE) en cartes lisibles de menaces à venir.

Faits marquants : 

En mars 2025, Cybi a remporté le Prix du Coup de cœur lors du Prix de la Start-up 2025, récompensant son approche novatrice en matière de cybersécurité. Cette distinction souligne l'importance croissante des solutions CTEM dans un paysage numérique en constante évolution, où la gestion proactive des menaces est devenue cruciale pour les entreprises de toutes tailles. ​

CYBERTRIVIA - LE SAVIEZ-VOUS ? 🤔

Saviez-vous qu'une simple ligne de code peut faire trembler toute la toile ? En 2014, le monde découvre l’une des vulnérabilités les plus critiques de l’histoire d’Internet.

Heartbleed, une faille dans la bibliothèque OpenSSL, a été utilisée par plus des deux tiers des serveurs web à l’époque. Ce bug, pourtant introduit par une simple ligne de code mal sécurisée, permettait à n’importe quel attaquant de lire la mémoire des serveurs vulnérables, y compris les clés privées, les identifiants, et les données sensibles.

Le plus troublant ? La faille est restée invisible pendant plus de deux ans, exposant sans bruit les communications supposées sécurisées de millions d’utilisateurs. Et contrairement aux attaques bruyantes qui laissent des traces, Heartbleed était silencieuse : aucune alerte, aucun log, aucune trace pour les administrateurs.

Des entreprises comme Yahoo!, GitHub, Amazon ou encore la NSA auraient été exposées. Certaines rumeurs évoquent même une exploitation de la faille par des services de renseignement bien avant sa divulgation publique.

Mais ce n’est pas tout. Lors de la correction, la majorité des administrateurs ont oublié un détail : révoquer les certificats compromis. Résultat : même après le patch, des millions de serveurs ont continué à utiliser des identifiants potentiellement volés. Une erreur systémique qui a révélé à quel point les chaînes de confiance numérique sont fragiles, même chez les plus grands.

Heartbleed a déclenché un séisme dans la communauté cyber. Elle a accéléré la création d’initiatives comme le Core Infrastructure Initiative, visant à financer les briques critiques de l’Internet libre, trop souvent maintenues par quelques développeurs isolés.