Dans ce rapport, intitulé Cloudzy with a Chance of Ransomware : Unmasking Command-and-Control Providers (C2Ps), l'équipe de recherche et d'ingénierie Halcyon détaille les nouvelles techniques utilisées pour démasquer un autre acteur de l'économie du ransomware qui facilite les attaques par ransomware et les opérations APT parrainées par l'État : Les fournisseurs de commande et de contrôle (C2P) qui vendent des services aux acteurs de la menace tout en assumant un profil commercial légal.
Bien que ces entités C2P soient en apparence des entreprises légitimes qui peuvent ou non savoir que leurs plateformes sont utilisées de manière abusive pour des campagnes d'attaque, elles constituent néanmoins un pilier essentiel du dispositif d'attaque plus large utilisé par certains des acteurs les plus avancés de la lutte contre les menaces.
Voici les principales conclusions de l'étude :
- Halcyon affirme, sur la base de cette recherche, qu'il existe encore un autre acteur clé qui soutient l'économie florissante des ransomwares : Les fournisseurs de services de commande et de contrôle (C2P) qui, sciemment ou non, fournissent des services aux attaquants tout en adoptant un profil commercial légitime.
- Halcyon identifie que Cloudzy, qui accepte des crypto-monnaies en échange de l'utilisation anonyme de ses services de serveurs privés virtuels (VPS) RDP (Remote Desktop Protocol), semble être le fournisseur de services commun qui soutient les attaques de ransomware et d'autres activités cybercriminelles.
- Halcyon identifie également une longue liste d'attaques liées à des APT parrainées par le gouvernement et s'étalant sur plusieurs années, qui semblent utiliser les services de Cloudzy, où l'on estime que (potentiellement) entre 40 et 60 % de l'activité globale pourrait être considérée comme étant de nature malveillante.
- Halcyon présente des preuves que, bien que Cloudzy soit incorporée aux États-Unis, elle opère presque certainement à partir de Téhéran, en Iran, en violation possible des sanctions américaines ,sous la direction d'une personne répondant au nom de Hassan Nozari.
Ce rapport documente aussi ce qui est considéré comme un modèle d'utilisation cohérente ou d'abus des serveurs fournis par le fournisseur d'accès à Internet Cloudzy par plus de deux douzaines d'acteurs différents de la menace, y compris des groupes liés à la Chine, à l'Iran et à l'Inde :
- Des groupes liés aux gouvernements chinois, iranien, nord-coréen, russe, indien, pakistanais et vietnamien.
- Un fournisseur israélien de logiciels espions sanctionné dont les outils sont connus pour cibler la société civile
- Plusieurs autres syndicats du crime et affiliés à des ransomwares dont les campagnes ont déjà fait la une des journaux internationaux.
Réponse de Cloudzy :
Envoyé par Cloudzy
Et vous ?
Pensez-vous que cette étude est crédible ou pertinente ?
Quel est votre avis sur les sociétés similaires Cloudzy ?
Voir aussi :
L'adoption du cloud computing rend les secteurs fortement réglementés tels que les soins de santé et les services financiers vulnérables aux attaques
D'après un rapport de Blancco Technology Group
53 % des organisations ont été victimes de cyberattaques dans le cloud au cours des 12 derniers mois
Le phishing étant le plus courant, puisque 73 % des répondants y ont été confrontés, selon Netwrix
41 % des entreprises citent les serveurs cloud comme la porte d'entrée la plus courante des cyberattaques
La France est en deuxième position des pays les plus visés par les cyberattaques