PRO+ Contenu Premium/Information Sécurité
Accédez au contenu Pro+ ci-dessous.
Cybersécurité : comment l’EDR peut être contourné
Cet article fait partie de l’ezine Information Sécurité : Février 2023
C’était début 2022, quelques jours après le début de l’invasion de l’Ukraine par la Russie : une personne très proche du gang rendait publiques les archives d’échanges privés des membres de Conti depuis début 2020, et même des fichiers datant de 2016, sans compter du code source à profusion ou des captures d’écran des outils du gang, à commencer par son système de contrôle à distance de systèmes compromis, Bazar Loader. Une pratique répandue… L’analyse de ces données a permis d’en apprendre beaucoup sur l’organisation interne de ce qui s’est révélé être une véritable PME de la cybercriminalité. À la clé, une révélation remarquable : début 2021, Conti cherchait à acquérir des licences de l’EDR de Carbon Black. Le but ? Apprendre à passer au travers des mailles de ses filets. Le cas n’est pas isolé. Dans un billet de blog publié début octobre 2022, Andreas Klopsch, chercheur en menaces chez Sophos, détaillait une nouvelle tactique d’évasion employée par les attaquants déployant le ransomware BlackByte : elle désactive les outils ...
Accédez à ce contenu PRO+ gratuitement !
A lire Dans ce numéro
-
Comment l’EDR s’est imposé avec l’évolution de la menace cyber
Les témoignages de cyberattaques avortées grâce à la visibilité additionnelle apportée par la détection et réponse sur les hôtes – combinée à la réactivité des équipes en charge de la sécurité opérationnelle – se multiplient.
-
Cyberattaque : comment Caen a évité le pire grâce à l’EDR d’HarfangLab
La collectivité a profité des suites d’un démonstrateur en attente de contractualisation pour détecter les prémices du possible déploiement d’un rançongiciel. L’intrusion est avérée, le nettoyage en cours, mais le chiffrement a été évité. Et très probablement le vol de données aussi.
-
Ransomware : Egis a stoppé la cyberattaque dans sa phase finale
Le groupe d’ingénierie français confirme avoir fait l’objet d’une cyberattaque à la fin du mois de janvier, impliquant un ransomware. La famille de ce dernier n’a pas été précisée.
-
Cyberattaque au centre hospitalier de Versailles : la piste d’un usurpateur de LockBit
Le ransomware LockBit 3.0, dit « Black », semble avoir été utilisé contre l’hôpital André-Mignot au Chesnay-Rocquencourt, mais à l’insu de la franchise éponyme. L’offensive aurait été détectée par un EDR, et n’a, hélas, pas été bloquée.