Les chercheurs en cybersécurité ont identifié une tactique inquiétante : les acteurs du groupe derrière le Ransomware connu sous le nom de Crazy profitent d'outils de surveillance et de soutien à distance légitimes pour construire sur les réseaux d'entreprise, passer inaperçus et se préparer à la sortie du cryptage. Cette stratégie, décrite en détail par Chasseur, combine le logiciel de surveillance des employés avec les clients d'accès à distance pour créer un double chemin d'accès que la victime peut facilement confondre avec l'activité administrative normale.
Dans plusieurs incidents analysés, les attaquants ont déployé le produit commercial Net Monitor pour les employés professionnels en installant l'agent à l'aide de l'installateur Windows (msiexec.exe) et, dans certains cas, en téléchargeant des composants directement à partir du site du développeur. Une fois actif, cet agent vous permet de visualiser le bureau en temps réel, de déplacer des fichiers et d'exécuter des commandes distantes, ce qui fournit aux intrus un contrôle interactif très similaire à celui d'un administrateur légitime. L'utilisation de l'installateur officiel a compliqué la détection, car les signaux ressemblent à des installations valides.
En tant que redondance, les opérateurs ont également introduit le client de l'outil SpleHelp en utilisant les commandes PowerShell, parfois en renommant le binaire pour ressembler à une partie de Visual Studio (par exemple vhost.exe) ou même en tant que service OneDrive dans ProgramData (par exemple C:\ Programme Données\\ OneDriveSvc\\ OneDriveSvc.exe). Exécuté que la charge utile alternative, les attaquants ont gardé l'accès même si l'agent de surveillance a été enlevé.
L'enregistrement d'intrusion montre également des tentatives pour augmenter les privilèges locaux (par exemple, en activant le compte administrateur avec l'administrateur utilisateur net / commande active: oui) et des actions pour affaiblir l'antivirus natif, avec des tentatives pour arrêter et supprimer les services associés à Windows Defender. Il a également identifié des règles d'alerte configurées dans SimpleHelp pour avertir de l'activité liée à la cryptomoneda (mots clés tels que métamasque, exode, portefeuille, étherscan, bsccan, binance, entre autres) et pour surveiller les connexions par des outils d'accès à distance (RDP, AnyDesk, TeamViewer, VNC). Ces signaux indiquent que les attaquants ont non seulement cherché à implémenter l'ansomware, mais aussi à identifier et exfilter cryptoactive si l'occasion se présentait.
L'utilisation simultanée de plusieurs outils à distance donne une tolérance de défaillance aux intrus: si une porte d'accès est découverte ou bloquée, une autre reste disponible. Huntress observe des schémas techniques partagés entre les incidents - tels que le même nom de fichier (vhost.exe) et le chevauchement C2 - suggérant qu'un seul opérateur ou groupe réutilisé des composants dans différentes victimes. Le résultat concret a été au moins une infection avec l'ansomware fou, bien que la tactique peut être appliquée dans des campagnes plus larges.
Ce type d'abus n'est pas exceptionnel : les cybercriminels profitent depuis longtemps d'outils légitimes de gestion à distance car ils génèrent moins d'alarme et sont plus difficiles à distinguer du trafic administratif réel. L'utilisation d'identités engagées dans les VPN SSL était le point d'entrée dans les cas examinés, ce qui souligne l'importance d'assurer un accès à distance avec des contrôles robustes.
Que peuvent faire les organisations pour réduire ce risque? Premièrement, l'application de l'authentification multifactorielle (AMF) à tous les services d'accès à distance et aux VPN réduit considérablement la probabilité que les identifiants volés permettent un engagement initial; c'est une recommandation récurrente dans les guides de cybersécurité comme l'initiative américaine Cyber Security and Infrastructure Agency Stop Ransomware. États-Unis (CISA) https: / / www.cisa.gov / stopransomware.
Du point de vue technique, il convient de permettre des contrôles qui rendent difficile l'installation de logiciels silencieux et l'exécution de scripts non autorisés: mécanismes de contrôle d'application (AppLocker ou Windows Defender Application Control), protection contre la manipulation antivirus, et des politiques qui limitent l'utilisation de msiexec et téléchargement / extraction par PowerShell sans supervision. Microsoft offre une documentation pratique sur la protection et l'enregistrement de PowerShell, ainsi que sur la configuration de protection de la poignée de défense de Microsoft https: / / learn.microsoft.com.
La télémétrie et la surveillance sont une autre ligne de défense critique : les équipes de sécurité devraient vérifier les services d'agent et de soutien à distance (p. ex., recherche proactive de processus et d'itinéraires suspects comme ProgramData\\ OneDriveSvc\\ OneDriveSvc.exe ou exécutable avec des noms inattendus semblables à vhost.exe), inspecter les journaux pour les exécutions de msiexec et de PowerShell, et générer des alertes pour les changements dans les paramètres de sécurité ou l'activité anormale dans les comptes privilégiés. Des solutions EDR bien configurées peuvent détecter des indicateurs de comportement et d'engagement dans ces campagnes.
La segmentation des réseaux et la limitation des privilèges ne sont pas moins importantes : des actifs essentiels distincts, éviter l'utilisation généralisée de comptes dotés de privilèges locaux persistants et examiner régulièrement l'accès administratif. Maintenir une sauvegarde régularisée, isolée et vérifiée vous permet de récupérer des opérations après une attaque Ransomware sans succomber à l'extorsion.
Pour mieux comprendre les outils que les attaquants exploitent, le site web du fournisseur SpleHelp peut être consulté. https: / / www.simplehelp.com / et la page Net Monitor pour les employés du développeur https: / / www.netmonitsoft.com /. La recherche de Huntress rassemble des détails techniques et des exemples de télémétrie qui peuvent aider les équipes de détection à chercher des modèles similaires dans leur environnement : Rapport de chasse.
Bref, l'abus de logiciels légitimes nécessite un changement d'avis : Il ne suffit plus de bloquer les outils "malicieux" sur les listes noires; il est nécessaire de surveiller l'utilisation légitime des outils administratifs, de renforcer les contrôles d'accès et d'accroître la visibilité pour détecter quand ces profits sont utilisés à des fins malveillantes. La combinaison de mesures préventives - MFA, contrôle d'application, segmentation et sauvegarde - avec une capacité de détection et de réponse rapide est la meilleure défense contre ces opérations de plus en plus furtives.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...