Les principales menaces de cybersécurité révélées en mars 2025

Eugène Loaris

Nouvelles

Mars 2025 a vu une évolution significative des tactiques de cyber-menace, avec des groupes de ransomwares adoptant de nouvelles techniques et élargissant leurs opérations. Les chercheurs en sécurité ont identifié plusieurs menaces à fort impact ce mois-ci, y compris le passage d'un groupe d'espionnage d'entreprise vers les ransomwares, Nouveaux outils d'évasion EDR, Attaques sophistiquées de l'État-nation, et des campagnes de phishing trompeuses ciblant les entreprises. Cette analyse complète couvre les développements de cybersécurité les plus importants que les professionnels de la sécurité et les entreprises devraient être conscients.

Menaces de cybersécurité majeures – Mars 2025 Menaces de cybersécurité majeures – Mars 2025 Évaluation de l'impact dans différents secteurs Services financiers Soins de santé Gouvernement Fabrication It / msp Haut Moyen Faible Qwcrypt Rançongiciel Edrkillshifter Outil Sparrowoor Porte arrière Simuler Convertisseurs Fake Semrush Hameçonnage

Source: Analysé les données de Unité de recherche sur les menaces Acronis Combiné avec les évaluations d'impact de l'industrie

Redcurl évolue: Corporate Espionage Group lance la première campagne de ransomwares avec QWCrypt

En mars 26, 2025, Les chercheurs en sécurité ont identifié que le groupe de piratage notoire Redcurl (Aussi connu sous le nom de Terre Kapre et Red Wolf) est passé de ses activités d'espionnage d'entreprise traditionnelles au déploiement de ransomwares pour la première fois. Ce pivot stratégique marque une évolution significative des tactiques du groupe, techniques, et les procédures (TTPS).

Analyse technique des ransomwares QWCrypt

La souche de ransomware nouvellement identifiée, Nommé Qwcrypt, cible spécifiquement les machines virtuelles, le rendre particulièrement dangereux pour les organisations atteints d'infrastructure virtualisée. La chaîne d'attaque du malware commence par des e-mails sophistiqués de phisseur de lance contenant des leurres sur le thème de la FC. Ces e-mails fournissent des PDF et des fichiers ISO malveillants qui se mettent en charge les logiciels malveillants via un exécutable Adobe légitime, Exploiter les chemins d'application de confiance pour échapper à la détection.

Phase d'attaque Détails techniques
Accès initial Emails de phisces de lance avec des leurres sur le thème de la FC contenant des PDF malveillants et des fichiers ISO
Exécution Ligne de logiciels de téléchargement via l'exécutable Adobe légitime
Persistance Modifications de registre et tâches planifiées créées avec les privilèges système
Mouvement latéral Vol d'identification et exploitation des vulnérabilités non corrigées
Impact Cryptage des machines virtuelles, rendant des infrastructures entières inopérables

La conception du ransomware semble imiter les éléments de groupes établis comme Lockbit et Hardbit, potentiellement pour confondre les efforts d'attribution. Notamment, Les chercheurs n'ont pas identifié de site de fuite dédié associé à ces attaques, soulever des questions quant à savoir si la demande de rançon est authentique ou si le déploiement des ransomwares sert de distraction des activités d'espionnage traditionnelles du groupe.

Cibles et distribution géographique

Redcurl a historiquement ciblé les organisations au Canada, Allemagne, Norvège, le Royaume-Uni, et les États-Unis. Le passage du groupe aux opérations de ransomware étend potentiellement son profil de menace du vol de données à la perturbation opérationnelle dans ces régions.

Edrkillshifter: L'outil d'évasion de la sécurité de RansomHub relie plusieurs groupes de cybercriminalité

Dans un développement significatif suivi tout au long de mars, Les chercheurs en sécurité ont découvert des liens entre trois groupes de cybercriminaux distincts grâce à leur utilisation d'un outil d'évasion de sécurité commun appelé Edrkillshifter. Cet outil, développé à l'origine pour les affiliés du RansomHub Ransomware-as-a-Service (Raas) opération, exploite les conducteurs vulnérables à désactiver la détection et la réponse des points finaux (EDR) logiciel.

Capacités d'outils et détails techniques

Edrkillshifter représente un avancé “Apportez votre propre conducteur vulnérable” (Byovd) Approche pour désactiver les défenses de sécurité. L'outil cible les pilotes système légitimes mais vulnérables, les exploiter pour fermer les mesures de protection dans le système d'exploitation. Lorsqu'il est déployé avec succès, Il aveugle effectivement les outils de sécurité aux activités malveillantes ultérieures.

Un acteur de menace nouvellement identifié, surnommé quadswitcher, a été observé à l'aide d'Edrkillshifter dans des attaques attribuées à plusieurs groupes de ransomwares, y compris:

  • Ransomhub
  • Jouer au ransomware
  • Ransomware de méduse
  • Ransomware bianlian

Les chercheurs ont confirmé la connexion entre ces groupes en analysant des échantillons d'Edrkillshifter partagés et une infrastructure de serveur de commandement, démontrer comment l'outillage est partagé sur différentes opérations de ransomware.

Recommandations de défense

Étant donné que ces attaques nécessitent un accès administratif, Les organisations peuvent mettre en œuvre plusieurs mesures préventives:

  1. Implémentez la liste de blocage du pilote pour les pilotes vulnérables connus
  2. Utilisez la fonction de liste de blocs de pilote de Windows Defender pour la protection
  3. Moniteur pour les événements de chargement du pilote, en particulier ceux associés à des outils tiers
  4. Déployer des solutions EDR avancées qui peuvent détecter les tentatives de désactiver les logiciels de sécurité
  5. Mettre en œuvre de solides contrôles d'accès pour empêcher les attaquants d'obtenir des privilèges administratifs

La montée en puissance des tueurs d'Edr met en évidence une tendance préoccupante dans les tactiques de ransomware, Comme les acteurs de la menace s'adaptent continuellement pour contourner les défenses de sécurité de plus en plus sophistiquées.

Chinese APT Group FamousSparrow évolue la boîte à outils d'attaque avec ShadowPad

Les chercheurs en sécurité ont identifié des attaques ciblées contre un États-Unis. Groupe commercial et institut de recherche mexicain attribué à la menace persistante avancée chinoise (APTE) groupe célèbre. La campagne, Détecté pour la première fois début mars 2025, Implique le déploiement de la porte dérobée Sparrowdoor signature du groupe aux côtés de Malware de Shadowpad - marquant la première instance observée de FamousSparrow en utilisant cet outil particulier.

Détails techniques de l'attaque

L'analyse de la campagne a révélé deux nouvelles versions de Sparrowdoor, y compris une variante modulaire significativement améliorée avec des capacités d'exécution de commandes améliorées. La séquence d'attaque suit un modèle familier pour les acteurs de l'État-nation:

  1. Accès initial: Exploitation des vulnérabilités obsolètes de Windows Server et Microsoft Exchange Server
  2. Persistance: Déploiement d'un shell Web sophistiqué pour maintenir l'accès
  3. Livraison de charge utile: Installation de Sparrowdoor Backdoor et ShadowPad malware

La version modulaire de Sparrowdoor prend en charge plusieurs capacités avancées, y compris:

  • Journalisation de Keystroke pour un vol d'identification
  • Transfert de fichiers pour l'exfiltration des données
  • Manipulation de traitement pour maintenir la furtivité
  • Capture de bureau à distance pour la collecte d'intelligence visuelle

Shadowpad, une porte dérobée modulaire généralement associée aux acteurs de la menace parrainés par l'État chinois, étend considérablement les capacités de FamousSparrow, Suggérer une collaboration potentielle ou un partage d'outils entre les groupes APT chinois.

Avertissement du FBI: Faux convertisseurs de fichiers volant des informations et déploiement des ransomwares

Le FBI Denver Field Office a émis un avertissement urgent après avoir observé une augmentation des rapports de faux convertisseurs de documents en ligne utilisés pour voler des informations sensibles et déployer des ransomwares. Cet avertissement, émis en mars 20, 2025, met en évidence une tendance préoccupante ciblant les utilisateurs personnels et professionnels.

Comment fonctionne l'attaque

Les cybercriminels créent des sites Web trompeurs qui prétendent fournir des services de conversion de documents gratuits mais cacher des intentions malveillantes:

  1. Les utilisateurs recherchent des outils de conversion de documents rencontrent ces sites, Souvent promu via Google Ads
  2. Les sites semblent légitimes et peuvent en fait fournir la fonctionnalité de conversion promise
  3. Lorsque les utilisateurs téléchargent des documents pour la conversion, Les sites extraient des informations sensibles du contenu du fichier
  4. Les fichiers convertis renvoyés contiennent des logiciels malveillants intégrés qui établissent un accès à distance
  5. Dans des cas plus graves, le ransomware est déployé, crypter les dossiers de la victime

Les chercheurs ont identifié plusieurs indicateurs qui aident à identifier ces sites de convertisseur frauduleux:

Panneau d'avertissement Détails
Âge du domaine Généralement enregistré dans le passé 30 jours
politique de confidentialité Informations de confidentialité manquantes ou extrêmement vagues
Coordonnées Pas de coordonnées commerciales légitimes
Certificat SSL Souvent en utilisant des certificats gratuits avec une validation minimale
Conception de sites Web Clone des services légitimes avec des modifications mineures

Les logiciels malveillants livrés via ces services peuvent extraire un large éventail d'informations sensibles, y compris les noms, mots de passe, graines de crypto-monnaie, et les références bancaires, conduisant à des pertes financières importantes pour les victimes.

Empêcher de fausses attaques de convertisseur

Pour protéger contre ces menaces, Le FBI recommande plusieurs mesures préventives:

  • Utiliser uniquement, Outils et services de conversion de fichiers réputés
  • Installez un logiciel de sécurité complet qui peut identifier les sites Web malveillants
  • Vérifiez la légitimité du site Web avant de télécharger des documents sensibles
  • Envisagez d'utiliser des outils de conversion hors ligne lors de la gestion des informations sensibles
  • Sauvegarder régulièrement des fichiers critiques pour permettre la récupération en cas d'attaque de ransomware

Pour les entreprises et les particuliers qui ont déjà été victimes de ces escroqueries, une invite Processus de suppression des logiciels malveillants est essentiel pour atténuer les dommages potentiels.

Des professionnels du référencement ciblés par une campagne de phishing sophistiquée

Une campagne de phishing nouvellement identifiée cible spécifiquement les professionnels du référence. Sabre, Une plate-forme SaaS populaire fournissant des outils pour le référencement, publicité en ligne, et marketing de contenu, est issu d'identité dans cette campagne hautement ciblée.

Détails et objectifs de la campagne

Les analystes de la sécurité pensent qu'un groupe de menaces brésilien est à l'origine de cette campagne, qui vise spécifiquement à capturer Google ADS compte pour lancer d'autres attaques de malvertis. L'opération démontre une compréhension sophistiquée de l'écosystème du marketing numérique:

  1. Les attaquants créent des sites de phishing convaincants imitant l'interface de Semrush
  2. Ces sites utilisent des noms de domaine similaires à Semrush mais avec différents domaines de niveau supérieur
  3. Les victimes sont obligées de s'authentifier via “Connectez-vous avec Google” Fonctionnalité
  4. Lorsque des informations d'identification sont saisies, Les attaquants ont accès au compte Google de la victime
  5. Cet accès permet le vol de données commerciales sensibles de Google Analytics et Google Search Console

Dans un développement connexe, Une autre campagne de phishing en cours est de tirer parti de fausses publicités en profondeur dans les résultats de recherche Google pour livrer l'Héraclès Msil Trojan, Un logiciel malveillant de voler l'information ciblant les portefeuilles de crypto-monnaie. Cette campagne utilise des résultats de recherche Google sponsorisés pour diriger les victimes vers des sites Web malveillants qui distribuent l'infostealer.

Impact et prévention de l'industrie

Ces campagnes de phishing mettent en évidence la nature évolutive des attaques ciblées contre des groupes professionnels spécifiques. Les professionnels du référencement et du marketing numérique devraient mettre en œuvre des mesures de sécurité supplémentaires, y compris:

  • Activer l'authentification multi-facteurs sur tous les comptes Google
  • Vérifier soigneusement l'URL des pages de connexion avant de saisir les informations d'identification
  • Utilisation des gestionnaires de mot de passe avec des capacités de détection de phishing
  • Être sceptique quant aux publicités Google pour les services logiciels, même lorsqu'ils apparaissent en haut des résultats de recherche
  • Mettre en œuvre une formation de sensibilisation à la sécurité à l'échelle de l'entreprise sur ces menaces spécifiques

Les organisations devraient également envisager la mise en œuvre Solutions de sécurité complètes qui peut détecter et bloquer automatiquement les tentatives de phishing et les téléchargements de logiciels malveillants.

Défense coordonnée: Répondre au paysage des menaces en évolution

Comme ces menaces démontrent, Les tactiques cybercriminales continuent d'évoluer en sophistication et en impact. Les organisations devraient adopter une approche de sécurité multicouche qui comprend:

  1. Gestion de la vulnérabilité: Maintenir un inventaire à jour des systèmes et mettre en œuvre des correctifs réguliers, en particulier pour les applications orientées Internet comme Microsoft Exchange.
  2. Sécurité par e-mail: Déployer des solutions avancées de filtrage des e-mails pour détecter et bloquer les tentatives de phishing sophistiquées, en particulier ceux qui utilisent des leurres sur le thème de la FC.
  3. Solutions EDR / XDR: Mettre en œuvre des plateformes de protection des points de terminaison modernes qui peuvent détecter et répondre aux tentatives de désactiver les outils de sécurité.
  4. Sensibilisation à la sécurité: Suivre une formation régulière pour les employés, avec un accent particulier sur la reconnaissance des tentatives de phishing et des sites Web suspects.
  5. Planification de la réponse aux incidents: Développer et tester régulièrement des procédures de réponse aux incidents pour assurer un confinement rapide et une récupération en cas de violation de sécurité.

La convergence des opérations de ransomware, Tactiques de l'État-nation, Et les campagnes de phishing ciblées crée un environnement de sécurité difficile qui nécessite des mesures de vigilance et de défense proactive. En restant informé des menaces émergentes et de la mise en œuvre des contrôles de sécurité appropriés, Les organisations peuvent réduire leur exposition aux risques dans ce paysage évolutif.

Pour les particuliers et les entreprises préoccupées par les infections potentielles, Envisagez d'utiliser des outils comme Suppresseur de chevaux de Troie Pour rechercher et éliminer les logiciels malveillants qui auraient déjà compromis vos systèmes.

PUA:Win32 / rdpwrap – Ce qu'il faut faire?

Laissez un commentaire