Ces derniers mois, nous avons vu certaines bandes de ransomware évoluer de tactiques connues à des méthodes plus subtiles et orientées vers l'ingénierie sociale. L'un des exemples les plus frappants vient de LeakNet, une opération apparue à la fin de 2024 et qui change maintenant sa façon d'accéder aux réseaux : au lieu de s'appuyer tant sur des comptes volés achetés sur le marché noir, elle s'appuie sur des astuces qui incitent la victime à exécuter des commandes de sa propre main.
Le mécanisme d'étoile que LeakNet a mis en œuvre est connu comme Cliquez surFix. Essentiellement, les attaquants compromettent les sites légitimes et les utilisent pour montrer de faux contrôles - par exemple, les vérifications de type CAPTCHA - qui persuadent l'utilisateur de copier et coller une commande dans la boîte Exécuter Windows. Cette commande invoque habituellement msiexec.exe pour lancer un installateur apparemment inoffensif, mais elle déclenche en fait une chaîne de charge malware. L'attraction de l'astuce est double : la confiance dans les pages légitimes est exploitée et la plupart des signaux réseau qui détecteraient le trafic de leurs propres infrastructures malveillantes sont évités. ReliaQuest documente ce changement et son analyse est une lecture recommandée pour ceux qui veulent approfondir la technique ( Relia Rapport Quest).
Un autre élément clé du puzzle technologique est l'inclusion d'un chargeur basé sur Déno, la course moderne pour JavaScript et TypeScript. Au lieu de laisser des fichiers visibles sur le disque, ce chargeur exécute le code encodé sur Base64 directement en mémoire, contacte les serveurs externes pour télécharger les étapes ultérieures et entre dans un cycle d'enquête qui permet d'apporter de nouvelles instructions sans laisser trop de preuves persistantes. Pour comprendre Deno et pourquoi les attaquants l'utilisent comme un « moment de leur propre », le site officiel offre documentation et détails techniques ( deno.land).
Cette approche s'inscrit dans une stratégie plus large : en dispensant des intermédiaires qui vendent l'accès initial, LeakNet réduit les coûts par victime et augmente sa capacité d'échelle. En outre, parce que la livraison est faite à partir de sites fiables mais engagés, les défenses qui dépendent de la réputation des domaines traditionnels ou des modèles de réseau ont moins de place pour identifier l'intrusion à temps. WatchGuard et d'autres traqueurs ont déjà eu des records de LeakNet depuis son apparition en novembre 2024 ( profil dans WatchGuard).
Lorsque l'acteur parvient à exécuter son code, la chaîne post-opération qui décrit ReliaQuest tend à se répéter: le chargeur démarre une DLL malveillante au moyen de Le chargement de la DLL ide, des outils légitimes tels que PsExec pour se déplacer latéralement sur le réseau, les identifiants actifs et les tickets sont recherchés avec des commandes comme klist accélérer l'accès aux services existants et enfin filtrer les données et les systèmes chiffrés. Microsoft offre des informations sur PsExec et son utilisation légitime qui peuvent aider à contextualiser pourquoi cet outil est attrayant pour les attaquants ( Documentation PsExec) et Microsoft lui-même documente la commande klist utilisée pour inspecter les identifiants ( klist dans la documentation Microsoft).
L'exfiltrate reçoit également une attention particulière: au lieu d'utiliser des canaux clairement malveillants, LeakNet a été observé en utilisant Seaux S3 stocker des données volées, en profitant du fait que le trafic vers les services cloud semble souvent légitime et passe ainsi inaperçu. Les meilleures pratiques d'enregistrement et de surveillance en Amazon S3 sont donc un facteur défensif important ( guide sur Amazon S3).
Pas toutes les intrusions dont parlent les centres de renseignement suivent exactement le même script ClickFix: ReliaQuest a également enregistré des tentatives dans lesquelles les attaquants ont utilisé le phishing via Microsoft Teams pour tromper les employés et les amener à exécuter une chaîne de charges qui a fini, encore une fois, sur un chargeur basé sur Deno. Cette variété suggère deux possibilités : soit LeakNet a délibérément élargi son répertoire de vecteurs d'entrée, soit la technique BYOR - "Atteindre votre propre temps d'exécution" - est adoptée par d'autres groupes. Indépendamment de la paternité, le résultat indique des observations plus générales du panorama de Ransomware : selon Google Threat Intelligence Group, les avoirs de vulnérabilité dans les VPN et les pare-feu demeurent une cause fréquente d'accès initial, et le vol de données dans les incidents de Ransomware augmente ( Rapport Google).
Pour ceux qui défendent les réseaux, la bonne nouvelle est que cet ensemble de tactiques n'est pas complètement indétectable : l'opération LeakNet présente une séquence post-engagement relativement constante, qui ouvre des fenêtres en béton pour la détection et la réponse avant le chiffrement de masse. Surveillance des processus inhabituels qui lancent msiexec. exe des contextes web, l'identification des instances de Deno suspectes, la surveillance des mouvements latéraux avec PsExec et la recherche d'accès anormaux ou jusqu'à S3 seaux sont des mesures qui peuvent faire une différence. En outre, l'éducation des utilisateurs - de sorte qu'il ne colle pas les commandes qui indiquent les pages Web même si elles semblent vérifiées - reste une ligne de défense critique.
Sur un plan plus large, l'écosystème du ransomware montre des tensions contrastées: d'une part, la résilience des opérations et leur adaptation continue; d'autre part, les signes que la rentabilité globale de l'entreprise de sauvetage peut diminuer, ce qui pousse certains acteurs à changer de cibles ou de tactiques pour maximiser le volume ou l'efficacité. L'analyse récente du marché et la réponse incidente discutent de ces dynamiques et de leurs effets sur les tendances de l'extorsion ( Analyse Coveware).
S'il y a une conclusion pratique, c'est que les défenses doivent s'adapter au mélange d'ingénierie sociale sophistiquée et d'outils légitimes réutilisés à des fins hostiles. Fuite Le passage de Net à l'exécution de mémoire ClickFix et Deno est un rappel que la sécurité est à la fois technique et humaine : renforcer les configurations, appliquer des correctifs dans l'infrastructure exposée, segmenter les réseaux, auditionner et alerter sur les comportements anormaux dans les runtimes et les services cloud, et tenir les gens informés des tactiques de tromperie devrait être une priorité. Pour ceux qui veulent examiner des détails plus techniques et des preuves d'attaques, les rapports ReliaQuest et Drago offrent des cartes et des exemples qui aident à comprendre la menace en profondeur ( Analyse de Drago).
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Mini Shai-Hulud : l'attaque qui a transformé les dépendances en vecteurs d'intrusion de masse
Résumé de l'incident : GitHub enquête sur l'accès non autorisé aux dépôts internes après que l'acteur connu sous le nom de TeamPCP ait mis le code source présumé et les organisa...
Alerte de sécurité: CVE-2026-45829 expose Chroma Exécution DB à code distant sans authentification
Une défaillance critique de l'API Python ChromaDB - la base vectorielle populaire utilisée pour la récupération pendant l'inférence LLM - permet aux attaquants non authentifiés ...
Trapdoor: l'opération anti-dumping qui a transformé les applications Android en une usine automatique de revenus illicites
Les chercheurs en cybersécurité ont découvert une opération de fraude au dumping et à la publicité mobile Piège, qui transforme les installations d'application Android légitimes...
Alerte de sécurité: vulnérabilités critiques dans SEPPMail pourrait vous permettre de lire des courriels et d'exécuter le code distant
Les chercheurs en sécurité ont détecté une chaîne de failles critique dans SEPPMail Secure E-Mail Gateway qui, ensemble, permettent de lire les courriels d'autres personnes à l'...
Nx Console in check: comment une extension de productivité est devenue un vol d'identité et une menace pour la chaîne d'approvisionnement
Une attaque dirigée contre les développeurs a de nouveau révélé la fragilité de la chaîne d'approvisionnement du logiciel : l'extension Nx Console pour les éditeurs tels que Vis...