Cloudzy, une obscure socit de services Cloud a fourni des pirates informatiques parrains par l’tat des services Internet pour espionner et extorquer leurs victimes, selon les chercheurs de la socit texane Halcyon. Ils ont dclar que Cloudzy louait de l’espace serveur et le revendait pas moins de 17 groupes de pirates informatiques parrains par l’tat, originaires de Chine, de Russie, d’Iran, de Core du Nord, d’Inde, du Pakistan et du Vit Nam.
Dans ce rapport, intitul Cloudzy with a Chance of Ransomware : Unmasking Command-and-Control Providers (C2Ps), l’quipe de recherche et d’ingnierie Halcyon dtaille les nouvelles techniques utilises pour dmasquer un autre acteur de l’conomie du ransomware qui facilite les attaques par ransomware et les oprations APT parraines par l’tat : Les fournisseurs de commande et de contrle (C2P) qui vendent des services aux acteurs de la menace tout en assumant un profil commercial lgal.
Bien que ces entits C2P soient en apparence des entreprises lgitimes qui peuvent ou non savoir que leurs plateformes sont utilises de manire abusive pour des campagnes d’attaque, elles constituent nanmoins un pilier essentiel du dispositif d’attaque plus large utilis par certains des acteurs les plus avancs de la lutte contre les menaces.
Voici les principales conclusions de l’tude :
- Halcyon affirme, sur la base de cette recherche, qu’il existe encore un autre acteur cl qui soutient l’conomie florissante des ransomwares : Les fournisseurs de services de commande et de contrle (C2P) qui, sciemment ou non, fournissent des services aux attaquants tout en adoptant un profil commercial lgitime.
- Halcyon identifie que Cloudzy, qui accepte des crypto-monnaies en change de l’utilisation anonyme de ses services de serveurs privs virtuels (VPS) RDP (Remote Desktop Protocol), semble tre le fournisseur de services commun qui soutient les attaques de ransomware et d’autres activits cybercriminelles.
- Halcyon identifie galement une longue liste d’attaques lies des APT parraines par le gouvernement et s’talant sur plusieurs annes, qui semblent utiliser les services de Cloudzy, o l’on estime que (potentiellement) entre 40 et 60 % de l’activit globale pourrait tre considre comme tant de nature malveillante.
- Halcyon prsente des preuves que, bien que Cloudzy soit incorpore aux tats-Unis, elle opre presque certainement partir de Thran, en Iran, en violation possible des sanctions amricaines ,sous la direction d’une personne rpondant au nom de Hassan Nozari.
Ce rapport documente aussi ce qui est considr comme un modle d’utilisation cohrente ou d’abus des serveurs fournis par le fournisseur d’accs Internet Cloudzy par plus de deux douzaines d’acteurs diffrents de la menace, y compris des groupes lis la Chine, l’Iran et l’Inde :
- Des groupes lis aux gouvernements chinois, iranien, nord-coren, russe, indien, pakistanais et vietnamien.
- Un fournisseur isralien de logiciels espions sanctionn dont les outils sont connus pour cibler la socit civile
- Plusieurs autres syndicats du crime et affilis des ransomwares dont les campagnes ont dj fait la une des journaux internationaux.
Source : Halcyon
Et vous ?
Pensez-vous que cette tude est crdible ou pertinente ?
Quel est votre avis sur les socits similaires Cloudzy ?
Voir aussi :