Lazarus Group : Un syndicat criminel avec un drapeau

Le groupe Lazarus est une organisation cybercriminelle notoire parrainée par l'État et liée à la République Populaire Démocratique de Corée (RPDC, Corée du Nord). Le groupe opère au sein de l'agence de renseignement principale de la nation, le Bureau Général de Reconnaissance (RGB). Les analystes estiment que la plupart des membres du groupe Lazarus opèrent depuis Pyongyang, en Corée du Nord, certains opérant à l'étranger via des avant-postes étrangers ou des sociétés écrans. Un exemple d'opération étrangère est détaillé dans cette déclaration de 2018 du Département de la Justice des États-Unis :

Park Jin Hyok, était un programmeur d'ordinateurs qui a travaillé pendant plus d'une décennie pour Chosun Expo Joint Venture... et est affilié au Lab 110, une composante du renseignement militaire de la RPDC. ... Les chercheurs en sécurité qui ont enquêté de manière indépendante sur ces activités ont appelé cette équipe de hackers le "Groupe Lazarus."

Le groupe Lazarus est actif depuis au moins 2009 et est devenu l'un des acteurs de menace les plus prolifiques et polyvalents au monde.

Qu'est-ce que le groupe Lazarus ?

Le nom « Groupe Lazarus » désignait à l'origine un seul acteur de menace ou « petit ensemble d'acteurs coordonnés » lié à la Corée du Nord. Aujourd'hui, c'est un terme générique décrivant les nombreux sous-groupes, ou clusters de menaces, assignés aux opérations cybernétiques au sein du renseignement militaire de la RPDC. Les chercheurs de Mandiant ont créé ce diagramme en 2024 pour illustrer leur meilleure évaluation de la hiérarchie de la RPDC :

Avant d'examiner les clusters du groupe Lazarus, regardons rapidement le Ministère de la Sécurité d'État (MSS) et APT37. Le MSS est une police secrète civile et une agence de contre-espionnage qui mène des activités de surveillance intérieure et de sécurité politique. Le MSS contrôle le flux d'informations à l'intérieur du pays et surveille la population nord-coréenne pour sa loyauté.

APT37 mène des cyberopérations soutenant la mission du MSS. En 2020-2021, le groupe a ciblé les chercheurs sur le COVID-19 dans le cadre de la réponse à la pandémie de la RPDC . Le groupe cible également de manière continue les organisations sud-coréennes qui aident les transfuges nord-coréens. APT37 n'est généralement pas considéré comme faisant partie du groupe Lazarus.

Les clusters de menaces du groupe Lazarus résident au sein du RGB. Les chercheurs ont initialement retracé les clusters jusqu'au 5^ème Bureau et au 3ème Bureau au sein du RGB, comme vous le voyez dans ce diagramme de 2020 : 

La distinction ici est basée sur l'objectif de la mission. Les chercheurs de Mandiant ont conclu que le 5^e Bureau était concentré sur la Corée du Sud et d'autres cibles régionales, tandis que le 3^e Bureau était affecté au renseignement étranger. Les groupes Lazarus motivés financièrement étaient liés à Lab 110, tandis que le Bureau 325 menait des opérations de guerre de l'information et d'influence contre la Corée du Sud.

La pandémie de COVID-19 a perturbé les opérations cybernétiques de la RPDC et a coupé les opérateurs étrangers de leur direction à Pyongyang . Les acteurs de la menace à l'étranger ont commencé à collaborer de différentes manières et ont lancé des campagnes de ransomware pour financer leurs groupes sans le soutien du RGB. En conséquence, les opérations cybernétiques de la RPDC sortant de la pandémie étaient très différentes d'avant . L'alignement du Bureau est devenu moins pertinent à mesure que les intérêts géopolitiques de la Corée du Nord évoluaient. En conséquence, l'évaluation de 2024 élimine les distinctions de bureau et place les groupes Lazarus directement sous le RGB.

Clusters du groupe Lazarus

Il existe plusieurs clusters actifs dans le RGB, et la plupart d'entre eux sont suivis par plus d'un nom. Ces clusters collaborent, partagent une infrastructure et des outils, et se divisent parfois en groupes supplémentaires pour des projets spécifiques. Les acteurs du Lazarus Group bénéficient de la protection et du soutien du régime, et ils reçoivent des informations provenant de multiples sources au sein du système de renseignement de la RPDC. Cela permet à la direction du groupe et aux opérateurs d'identifier et de s'adapter rapidement aux nouvelles opportunités.

Les chercheurs suivent généralement de cinq à huit clusters à la fois, y compris les clusters basés sur des projets qui vont et viennent. Les quatre clusters suivants sont les principaux groupes :  

• TEMP.Hermit, alias Diamond Sleet, Labyrinth Chollima, Selective Pisces, TA404 : Ce groupe cible le gouvernement, la défense, les télécommunications et les institutions financières dans le monde entier. Le terme « Groupe Lazarus » se réfère le plus souvent à ce groupe d'activités.
• APT43, alias Kimsuky, Velvet Chollima, Black Banshee, Emerald Sleet, Sparkling Pisces, Thallium : l'unité principale de collecte de renseignements de la Corée du Nord. Ce groupe mène des opérations d'espionnage sophistiquées ciblant les secteurs gouvernementaux, de la défense et académiques en Corée du Sud, au Japon et aux États-Unis.
• APT38, alias Bluenoroff, Stardust Chollima, BeagleBoyz, CageyChameleon : Cette menace est la principale opération à motivation financière en RPDC. Ces opérations ciblent les banques, les échanges de cryptomonnaies et les plateformes DeFi. APT38 contourne les sanctions par le biais d'opérations massives de vol de cryptomonnaies.
• Andariel, alias APT45, Silent Chollima, Onyx Sleet DarkSeoul, Stonefly, Clasiopa : Il s'agit d'un cluster à double usage qui mène des cyberespionnages contre les secteurs de la défense/aérospatiale/nucléaire et des opérations de ransomware contre les organisations de santé. Les opérations de ransomware financent des activités de renseignement.

Les opérations du groupe Lazarus ont deux missions principales. Outre les activités d'espionnage et de sabotage, le groupe est chargé de capturer des fonds pour le régime. L'économie nord-coréenne dépend de ces revenus illicites car le pays est isolé et soumis à des sanctions internationales depuis de nombreuses années. La cybercriminalité est une activité relativement peu coûteuse qui génère des fonds fiables (jusqu'à présent) et à l'abri des sanctions que le régime peut utiliser à sa guise. Les experts soupçonnent que ces fonds sont utilisés pour développer des programmes d'armement. D'un rapport des Nations Unies de 2024 :

Le Panel enquête sur 58 cyberattaques suspectées par la République populaire démocratique de Corée sur des entreprises liées aux cryptomonnaies entre 2017 et 2023, évaluées à environ 3 milliards de dollars, qui aideraient à financer le développement d'armes de destruction massive dans le pays.

La RPDC continuera ces cyberattaques tant qu'elles resteront rentables et que les sanctions internationales resteront en place. Les opérations de criminalité financière du groupe Lazarus sont un élément fondamental et indispensable de l'économie nationale de la Corée du Nord.  

Cela ne veut pas dire que la collecte de renseignements n'est pas importante non plus. Pendant la pandémie, le groupe a été trouvé en train de voler des recherches sensibles sur le vaccin COVID-19 de Pfizer, AstraZeneca et de plusieurs autres sociétés pharmaceutiques et ministères de la santé. Il a également ciblé des entités gouvernementales ukrainiennes tandis que les officiels étaient distraits par le début de l'invasion russe.

Les chercheurs de Kaspersky ont conclu que les clusters de menace du groupe Lazarus sont structurés pour séparer et protéger les activités d'espionnage des cybercrimes à motivation financière. Cette structure permet également au RGB de fournir uniquement les informations les plus pertinentes à chaque cluster, bien que cela ne soit que spéculation. Il a été observé que ces clusters partagent des malwares, des serveurs et d'autres infrastructures, et même du personnel, il est donc possible qu'ils aient tous accès aux mêmes renseignements du RGB.

Naissance

Les capacités cybernétiques de la Corée du Nord ont débuté en 1990 avec la création du Korea Computer Center (KCC), qui a agi comme l'agence principale responsable de la stratégie en matière de technologie de l'information. En 1995 et 1998, le dirigeant suprême de l'époque, Kim Jong Il, a émis des directives pour que l'Armée populaire de Corée (KPA) développe des capacités cybernétiques.

L'APK était environ deux fois plus grande que ses homologues sud-coréens, mais il lui manquait de l'équipement et des capacités. Kim Jong Il a reconnu que les opérations cybernétiques pouvaient être une arme efficace pour compenser le fossé dans la puissance militaire. Les experts estiment que la “cyber-guerre” a été formalisée en tant que domaine militaire en 1998, et les étudiants étaient formés dans cette spécialité dès 2000.

Le groupe Lazarus a émergé en tant qu'acteur de menace à la fin des années 2000, peu de temps après que les Nations Unies ont sanctionné la RPDC pour son essai nucléaire de 2006. Les sanctions ont continué de se resserrer alors que l'actuel dirigeant suprême Kim Jong Un est arrivé au pouvoir et que son régime a priorisé les démonstrations de sa force militaire et numérique. Dans cet environnement, Lazarus est devenu un moteur de revenus d'État basé sur le vol économique et le ransomware mondial.

La première campagne attribuée au Groupe Lazarus était "Opération Troy", qui a commencé en 2009 comme une vague d'attaques par déni de service distribué (DDoS) contre les sites web des gouvernements américain et sud-coréen. Ces attaques ont continué jusqu'en 2013, évoluant vers une opération sophistiquée incluant l'espionnage et le vol d'informations. Un malware destructeur de type wiper a été lancé contre les cibles vers la fin de l'opération.  

En mars 2011, le groupe Lazarus a lancé une campagne qui est devenue connue sous le nom de Ten Days of Rain. Des médias sud-coréens, des banques et des infrastructures critiques ont été touchés par des vagues d'attaques DDoS de plus en plus sophistiquées, lancées depuis des ordinateurs compromis situés en Corée du Sud. Deux ans plus tard, le groupe a lancé l'attaque de wiper DarkSeoul qui a mis hors service trois grands diffuseurs, des institutions financières et un fournisseur d'accès à Internet.

Le groupe Lazarus s'est imposé comme une menace mondiale sophistiquée le 24 novembre 2014, lorsqu'il a infiltré Sony Pictures Entertainment. Le groupe a volé et publié des téraoctets de données internes comprenant des emails, des informations sur les employés et des films et scripts non publiés. Les stations de travail de Sony ont également été touchées par des malwares qui les ont rendues inutilisables. Cette attaque était une représaille pour « The Interview », un film comique sur un complot visant à tuer le dirigeant de la Corée du Nord. La Corée du Nord nie toute implication dans l'attaque, mais les chercheurs et les responsables américains attribuent avec confiance l'attaque au groupe Lazarus.

attaques financières

Le groupe Lazarus a accéléré ses crimes financiers vers 2015. Le groupe a été lié à un vol de 12 millions de dollars de Banco del Austro en Équateur et de 1 million de dollars de Tien Phong Bank au Vietnam. Ceux-ci étaient des précurseurs du casse de la Banque du Bangladesh en février 2016, où Lazarus a exploité le réseau bancaire SWIFT pour voler 81 millions de dollars avant d'être découvert et arrêté.

En 2017, le groupe Lazarus a déclenché le vers ransomware WannaCry, qui s'est propagé à l'échelle mondiale et a chiffré des données sur des centaines de milliers d'ordinateurs. L'attaque a causé des dommages estimés à 4 milliards de dollars dans le monde et plus de 100 millions de dollars de perturbations dans le secteur de la santé au Royaume-Uni. Le groupe n'a collecté qu'environ 160 000 $, ce qui a conduit de nombreux chercheurs à penser que WannaCry était une démonstration de puissance plutôt qu'un schéma de rançon typique.

À peu près à la même époque, Lazarus lançait des attaques sur les échanges de cryptomonnaies, les banques et les entreprises FinTech. En septembre 2018, le groupe avait volé environ 571 millions de dollars en cryptomonnaie à cinq échanges asiatiques, dont environ 530 millions de dollars volés à Coincheck (Japon).

En 2020, Lazarus a mené une attaque par chaîne d'approvisionnement contre le programme de gestion des applications WIZVERA VeraPort. Ce programme faisait partie des mécanismes de sécurité utilisés par la Corée du Sud pour protéger les sites web gouvernementaux et de banque en ligne. Cela a été suivi par une attaque contre le fournisseur de logiciels VoIP 3CX en 2023. Les deux attaques ont démontré la capacité du groupe à mener des attaques furtives en plusieurs étapes sur les chaînes d'approvisionnement logicielle.

escroqueries d'emplois de faux travailleurs

Une des stratégies actuelles du groupe est l'utilisation de fausses offres d'emploi et de scams d'employés pour infiltrer les entreprises. Ces stratagèmes sont largement connus sous le nom de "Operation Dream Job", et ils ciblent principalement les secteurs de la défense, de l'aérospatiale et du gouvernement aux États-Unis, en Israël, en Australie, en Russie et en Inde.

Dans une version de cette attaque, des acteurs malveillants se font passer pour recruteurs de prestigieuses entreprises. Ces faux recruteurs utilisent des profils en ligne et l'intelligence open source (OSINT) pour cibler des individus travaillant dans des secteurs tels que les cryptomonnaies, la FinTech, la défense ou le développement de logiciels. Le 'recruteur' contacte les prospects sur LinkedIn ou par email avec une offre pour postuler à un poste bien rémunéré. Si la cible montre de l'intérêt, l'acteur malveillant envoie une description de poste ou un contrat de travail, qui est un document contenant des malwares . Cette attaque a réussi contre un ingénieur chez Axie Infinity , entraînant une perte de 540 millions de dollars pour l'entreprise .

Une deuxième version de l'attaque implique des pirates se faisant passer pour des travailleurs informatiques ou des freelances. Des milliers de travailleurs technologiques nord-coréens ont été envoyés à l'étranger pour se faire passer pour des freelances sud-coréens, japonais ou occidentaux. Ces opérateurs acceptent des emplois dans le développement de logiciels ou liés aux cryptomonnaies dans des entreprises mondiales sous de faux noms. Il y a aussi des opérateurs travaillant à travers des fermes de laptops, qui cachent la véritable origine du pirate.

Certains de ces travailleurs nord-coréens ont pour mission de générer des revenus pour le RGB. D'autres sont chargés d'obtenir un accès privilégié afin de pouvoir siphonner des fonds, voler de la propriété intellectuelle ou installer des malwares pour aider aux futures attaques Lazarus.

Ces escroqueries de faux travailleurs transforment le recrutement d'entreprise en vecteur d'attaque. D'autres groupes de menaces utilisent des attaques similaires, mais aucun n'a égalé le succès ni la portée de ceux liés au groupe Lazarus.

Chaîne d'infection et tactiques favorites

Le groupe Lazarus utilise plusieurs tactiques courantes pour accéder à un système :

• Emails de spear-phishing : Lazarus a été observé envoyant des emails de phishing ciblés aux victimes. Il s'agit souvent de messages politiques ou financiers incitant le destinataire à agir sur une pièce jointe ou une URL malveillante et sont parfois combinés avec des exploits zero-day dans des logiciels courants. Cela reste la technique d'accès initiale principale du groupe.
• Exploitation des vulnérabilités logicielles : Lazarus utilise et développe parfois des exploits zero-day, et ils peuvent rapidement militariser des exploits publiquement connus.
• Attaques de point d'eau et compromis web stratégique : Le groupe utilisera ces tactiques pour atteindre une cible démographique. Lors d'une attaque, le groupe Lazarus a injecté du code malveillant sur le site d'un régulateur financier polonais pour infecter les employés de banque avec des téléchargements malveillants. Le groupe a également compromis des sites de mise à jour de logiciels légitimes pour livrer des installateurs compromis.
• Attaques de la chaîne d'approvisionnement : Lazarus excelle dans les compromissions de la chaîne d'approvisionnement, comme le démontrent les attaques mentionnées précédemment.
• Ingénierie sociale et fausses identités : Au-delà des scams sur les travailleurs, Lazarus crée d'autres fausses identités comme de potentiels partenaires commerciaux ou investisseurs. Par exemple, ils ont prétendu être des capital-risqueurs intéressés à investir dans une startup crypto pour établir une relation de confiance et ensuite partager un « document de diligence raisonnable » infecté par un malware.
• Malware installé par un conspirateur de Lazarus : Les ‘faux travailleurs’ qui infiltrent des entreprises étrangères peuvent déposer un malware dans un système pour ouvrir une porte aux opérateurs du groupe Lazarus.

Les attaques non basées sur l'ingénierie sociale du groupe Lazarus présentent une chaîne d'attaque APT complète, commençant par un accès initial via un email de spear-phishing ou une vulnérabilité exploitée. Une fois à l'intérieur du réseau, les acteurs de la menace déposent un malware qui ouvre une simple porte dérobée confirmant la connectivité avec les serveurs de commande et de contrôle (C2). Si le groupe détermine que la machine infectée est un contrôleur de domaine ou un autre appareil sensible, il poursuivra l'attaque.

À ce stade, Lazarus Group va installer un ensemble complet d'outils sur le système cible. Cela inclut des outils plus avancés comme des enregistreurs de frappe, des analyseurs de réseau et des portes dérobées de second niveau qui peuvent contrôler entièrement la machine. Ces charges utiles sont cachées dans le registre ou masquées sous forme de fichiers légitimes pour éviter la détection.

L'étape suivante consiste à escalader les privilèges et se déplacer latéralement à travers les serveurs, ce qui est généralement accompli avec des exploits connus ou des identifiants volés. Selon la mission, ils peuvent rechercher et voler des données spécifiques ou identifier des systèmes de transaction financière et se préparer à voler des fonds. Par exemple, dans l'opération ‘FASTCash’, Lazarus a implanté des malwares sur les serveurs de commutation de paiement des banques pour approuver des retraits frauduleux d'espèces aux distributeurs automatiques.

Le groupe tente de cacher ses traces de plusieurs façons. Une méthode consiste à configurer un malware destructeur pour s'exécuter à un moment prévu. Ce fut le cas dans le cambriolage de la banque du Bangladesh, où le groupe a implanté un malware qui modifiait ou supprimait les enregistrements de transactions et supprimait les fichiers journaux. Cela visait à empêcher la banque de voir les transferts frauduleux. Lazarus a également implanté des extraits en langue russe et du code d'autres malwares pour rendre l'attribution plus difficile. Ils opèrent également via des ordinateurs dans d'autres pays pour masquer les IP nord-coréennes.

Les déserteurs

Beaucoup d'informations que nous avons sur la Corée du Nord et le groupe Lazarus proviennent d'anciens membres du RGB et d'autres agences de haut niveau. Ces transfuges vivent et travaillent maintenant sous des identités différentes, vous pouvez donc supposer que les individus suivants utilisent des pseudonymes.

Le transfuge le plus en vue est Kim Kuk-song, qui a été impliqué dans le renseignement nord-coréen pendant 30 ans. Il a fui en Corée du Sud en 2014.

Dans une interview avec la BBC en 2021, Kim a confirmé que le Groupe Lazarus est contrôlé par l'État à un haut niveau, et que les agents sont hautement formés et dirigés pour "gagner de l'argent à tout prix" pour le Leader Suprême. Il a décrit le cyberespace comme une "guerre secrète" pour la Corée du Nord, et que ces opérateurs accomplissent des missions que l'armée conventionnelle ne peut pas. Il a également affirmé que les opérations cybernétiques sont utilisées pour éliminer les ennemis et soutenir les autres activités illicites de la Corée du Nord, telles que le trafic de drogue et d'armes.

Kim Heung-kwang est ancien professeur d'informatique qui a enseigné aux agents travaillant dans le RGB. Il a fait défection en 2004 et estime que la Corée du Nord comptait environ 6 000 cyber-guerriers formés d'ici 2015.

Jang Se-yul a quitté la Corée du Nord en 2007. Il a étudié à l’Université Mirim, qui est le collège militaire d'élite pour les cyber-opérateurs. Dans une interview à Reuters, il a déclaré que les acteurs de menace RGB étaient triés sur le volet et formés dès leur jeune âge, et qu'il y en avait environ 1 800 en 2014. Il a également confirmé que les familles des hackers nord-coréens opérant en Chine et dans d'autres pays sont retenues comme « garantie », mais peuvent être récompensées pour le succès de l'opération cybernétique.

Certains transfuges de bas niveau qui ont travaillé dans l'informatique ont mentionné que les opérateurs cybernétiques vivent dans des conditions bien meilleures que le citoyen moyen. Les avantages incluent une meilleure nourriture et un accès aux films étrangers et aux actualités mondiales. Ce sont des luxes en RPDC.

Bien que les récits des déserteurs varient, ils décrivent systématiquement un programme de piratage centralisé, étroitement contrôlé et bien financé. Ces récits révèlent également l'état d'esprit derrière les opérations : les membres du groupe Lazarus se considèrent comme des travailleurs loyaux servant leur pays, motivés par le privilège, l'idéologie et le souci de leur famille.

Protégez-vous

Le groupe Lazarus est une menace mondiale légitime à plusieurs niveaux. Ils peuvent perturber les entreprises du monde entier, voler des centaines de millions en cryptomonnaies et virements bancaires, infiltrer des entreprises en tant qu'employés avec de fausses identités, infecter des entreprises par le biais d'arnaques au recrutement, et bien plus encore. Il est crucial de rester vigilant face au groupe Lazarus, qui se considère déjà en guerre avec le monde.

Se protéger contre les escroqueries liées aux faux emplois et employés :

• Vérification stricte lors de l'embauche : Les entreprises devraient mettre en œuvre un processus de vérification approfondi des nouvelles recrues, en particulier pour les postes à distance. Cela inclut la conduite d'entretiens vidéo en direct (plusieurs tours) pour vérifier l'identité de la personne par rapport à ses documents et l'exécution de vérifications rigoureuses des antécédents.
• Formation de sensibilisation pour les RH et les responsables du recrutement : Le personnel des RH doit être formé pour repérer les signes d'un candidat frauduleux. Les signaux d'alarme courants sont le refus de participer à des appels vidéo, des horaires étranges qui peuvent suggérer des fuseaux horaires étrangers, et des CV qui semblent trop parfaitement adaptés ou trop génériques.
• Formation des employés sur les offres d'emploi non sollicitées : Les employés doivent être informés que les offres d'emploi non sollicitées peuvent être un piège de hameçonnage, et que les recruteurs légitimes ne demandent pas aux candidats d'installer des applications ou d'exécuter des fichiers lors du processus d'embauche. Encouragez les employés à divulguer les offres d'emploi de haut niveau qui apparaissent soudainement, afin que l'entreprise puisse déterminer s'il s'agit d'une attaque.
• Sécuriser les comptes personnels : Encouragez les employés à sécuriser leurs emails personnels et leurs réseaux sociaux avec des mots de passe forts et uniques ainsi qu'une authentification à deux facteurs. Lazarus utilise parfois des identifiants volés pour compromettre les emails personnels ou les comptes LinkedIn des employés. Une bonne gestion des mots de passe réduit le risque de compromission réussie.

Se défendre contre les cyberattaques du groupe Lazarus :

• Gestion des correctifs et segmentation du réseau : L'une des meilleures défenses consiste à éliminer les failles exploitées par le groupe Lazarus. Corrigez rapidement les logiciels critiques pour empêcher Lazarus d'utiliser des vulnérabilités connues comme point d'entrée. Le piratage de la Banque du Bangladesh a apparemment réussi en partie en raison de systèmes non corrigés et de l'absence de filtres de sortie du firewall. Segmentez votre réseau pour restreindre les mouvements latéraux et assurez-vous d'isoler les systèmes sensibles sur leur propre réseau avec un accès limité.
• Protection des terminaux : Déployez des outils avancés tels que Barracuda Managed XDR sur les postes de travail et les serveurs. Le malware Lazarus qui s'exécute sur les terminaux sera intercepté par cette protection. Le groupe modifie constamment les malwares, mais la détection basée sur le comportement peut signaler et alerter sur les processus suspects.
• Gestion forte des identités et des accès (IAM) : Appliquer l'authentification multi-facteur (MFA) partout, en particulier pour l'accès à distance et les comptes administratifs. Appliquer le principe du moindre privilège et s'assurer que les employés n'ont que les autorisations nécessaires pour accomplir leur travail. Les systèmes à haute valeur ne devraient être accessibles que par un petit nombre de comptes sécurisés par MFA ou jetons physiques comme un YubiKey ou Thetis.
• Surveiller le trafic sortant : Lazarus utilise des serveurs C2 pour gérer les attaques et exfiltrer des données. Utilisez la surveillance du réseau pour détecter des anomalies telles que des téléchargements depuis un serveur interne vers une IP externe inconnue, ou une signalisation continue vers une IP inconnue de l'entreprise. Une solution de prévention des pertes de données (DLP) peut aider à détecter et stopper l'exfiltration de données sensibles.
• Sécurité des e-mails et Anti-Phishing : Renforcez les passerelles de messagerie pour filtrer les pièces jointes et les liens malveillants. Utilisez le sandboxing pour les pièces jointes et la réécriture d'URL pour analyser les liens lorsqu'ils sont cliqués. Cela aidera à protéger les utilisateurs contre les attaques par spear-phishing et de recrutement d'emploi. Formez les employés à vérifier les e-mails inattendus et déployez des simulations de phishing et des exercices de sécurité de routine.
• Plan de réponse aux incidents & sauvegardes : Ayez un plan de réponse aux incidents et sauvegardez régulièrement les systèmes critiques hors ligne. Si un acteur de menace tel que le groupe Lazarus efface ou chiffre des données, vous devriez pouvoir les restaurer à partir d'un système de sauvegarde protégé. Entraînez-vous à vos procédures de réponse aux incidents et de récupération de données.
• Recherche des menaces pour les techniques connues du groupe Lazarus : Recherchez de manière proactive dans votre environnement des signes de Lazarus. Cherchez des hachages de malware connus et d'autres comportements suspects. Vérifiez les outils légitimes comme TightVNC ou les tâches planifiées inhabituelles, qui peuvent être des indicateurs d'une attaque.
• Adoptez la Zero Trust : Adoptez une approche de zero-trust, en supposant que tout utilisateur ou appareil pourrait être compromis à tout moment. La zero trust valide continuellement l'utilisateur et l'appareil, même entre les segments internes, et interceptera les machines et utilisateurs tentant d'accéder à quelque chose au-delà de ce qui est permis.  

Vous pouvez compter sur Barracuda

Grâce à une plateforme de cybersécurité alimentée par l'IA, votre entreprise peut maximiser la protection et la cyberrésilience. Une plateforme unifiée qui offre une protection avancée, des analyses en temps réel et des capacités de réponse proactive permet de remédier aux lacunes en matière de sécurité, de réduire la complexité opérationnelle et d'améliorer la visibilité. En consolidant les fonctions de sécurité essentielles, une plateforme de cybersécurité peut minimiser votre charge administrative et simplifier vos opérations. Avec les conseils d'experts en cybersécurité, vous pouvez tirer parti de tous les avantages d'une plateforme de cybersécurité unifiée. 

Ressources supplémentaires

• Plainte complète du DOJ contre Park Jin Hyok (concernant : Chosun Expo Joint Venture)
• Avis de recherche du FBI de Park Jin Hyok : https://en.wikipedia.org/wiki/Lazarus_Group
• Vidéo–Ce travailleur à distance est-il même réel? (YouTube)