Malware Brief : Quelque chose d'ancien, quelque chose de nouveau…

Aujourd'hui, nous vous présentons quelques-unes des dernières tendances en matière de malwares, notamment les menaces pesant sur les données d'Entra ID et le spoofing d'entreprises utilisant l'IA. En outre, nous nous pencherons sur une variante classique de ransomware qui continue de faire des dégâts près de 10 ans après sa première apparition.

Bourrage de mots de passe vs. Entra ID

Type : Variante de force brute

Outils : dafthack/DomainPasswordSpray, dafthack/MSOLSpray, iomoath/SharpSpray (tous disponibles sur GitHub)

Acteurs de la menace : APT28 aka IRON TWILIGHT, SNAKEMACKEREL, Swallowtail, Group 74, Sednit, Sofacy, Pawn Storm, Fancy Bear, STRONTIUM, Tsar Team, Threat Group-4127, TG-4127, Forest Blizzard, FROZENLAKE, APT29 aka IRON RITUAL, IRON HEMLOCK, NobleBaron, Dark Halo, StellarParticle, NOBELIUM, UNC2452, YTTRIUM, The Dukes, Cozy Bear, CozyDuke, SolarStorm, Blue Kitsune, UNC3524, Midnight Blizzard, APT33 aka HOLMIUM, Elfin, Peach Sandstorm, Play

Comme le suggère cette longue liste d'acteurs de la menace, le Bourrage de mots de passe connaît une explosion de popularité en tant que méthode permettant d'accéder aux réseaux ciblés. Une fois à l'intérieur, les pirates peuvent se déplacer latéralement, trouver et exfiltrer des données de grande valeur, insérer des ransomwares et d'autres malware, etc.

Contrairement aux méthodes traditionnelles de force brute, qui bombardent les comptes ciblés de tentatives d'accès rapides à l'aide de mots de passe (plus ou moins) générés au hasard, le bourrage de mots de passe utilise une petite liste de mots de passe connus pour être communs (par exemple, « mot de passe », « 1234 », etc.), à une faible fréquence.

Les attaques par bourrage de mots de passe contre les systèmes Entra ID sont de plus en plus courantes, avec une campagne récente ciblant environ 80 000 comptes sur trois continents. Cela souligne l’importance de faire appliquer l’utilisation de mots de passe forts et uniques et de protéger vos données Entra ID avec un système de backup fiable.

Faux outils de GenAI

Type : hameçonnage, cheval de Troie, publicité malveillante

Outils : NoodlophileStealer, ransomware

Les acteurs de la menace ont appris à exploiter l’intérêt croissant pour tout ce qui touche à l’IA pour créer une nouvelle génération d’attaques. Ils créent de faux outils d'IA générative qui dissimulent les malwares et les diffusent par le biais de publicités malveillantes et d’hameçonnage.

Les malwares dissimulés consistent souvent en un voleur (NoodlophileStealer est particulièrement courant) et sont utilisés pour trouver et exfiltrer des données financières et autres données sensibles.

Comme toujours, la sensibilisation à la sécurité, et une bonne dose de scepticisme à l'égard des nouveaux outils qui ne sont pas encore largement connus, est essentielle pour empêcher ces attaques.

Un coup de vieux : WannaCry

Type : Ransomware, ver

Observé pour la première fois dans la nature : mai 2017

Exploits utilisés : EternalBlue, DoublePulsar

Acteurs de la menace : Le groupe Lazarus (lié à la Corée du Nord)

En 2017, WannaCry (alias WCry, WanaCryptor) a pris le monde d’assaut et a inauguré l’ère moderne des ransomware, infectant environ 200 000 ordinateurs au cours des deux premiers jours de l’attaque. Microsoft, en collaboration avec plusieurs entreprises de Cybersécurité, a rapidement fourni un correctif Windows qui a activé un dispositif d’arrêt que les analystes avaient découvert dans le malware. Néanmoins, l’attaque a rapporté des milliards de dollars en paiements de rançon au moment à la fin de l'attaque.

Une innovation clé de WannaCry est qu'il possédait des capacités de ver. Non seulement il recherchait et chiffrait les données critiques dans son environnement cible, mais il avait également la capacité d'injecter des copies de lui-même dans d'autres ordinateurs connectés, lui permettant de se propager à une vitesse sans précédent.

De nouvelles variantes de WannaCry continuent d’attaquer les systèmes du monde entier, et elles ne disposent pas du kill switch que les premières interventions ont pu exploiter. Bien que ce ne soit pas l'un des principaux types de malwares utilisés, Any.Run signale 227 tâches détectées en juillet 2025.

C’est un rappel utile que les vieux malware ne meurent jamais, et qu’ils ne disparaissent jamais vraiment. Maintenez vos systèmes corrigés et votre sécurité à jour.