.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
L'équipe de recherche de la CTU (Counter Threat Unit™) analyse les menaces de sécurité pour aider les organisations à protéger leurs systèmes. D’après les observations réalisées en septembre et octobre, les chercheurs de la CTU™ ont identifié les problèmes et les changements notables suivants dans le paysage des menaces mondiales :
- Les EDR Killers représentent une réelle menace.
- La configuration est vraiment importante.
- Les infostealers restent des précurseurs majeurs d’attaques de ransomware.
Les EDR Killers représentent une réelle menace
Une bonne hygiène en matière de sécurité pourrait empêcher les acteurs malveillants de désactiver la détection endpoint.
Les chercheurs de la CTU ont investigué un incident de ransomware dénommé ‘Chaos’ au cours duquel les attaquants ont pu « désactiver » la protection EDR (Endpoint Detection and Response) sur le système compromis. ‘Chaos’ est une variante de ransomware émergente qui a été observée pour la première fois début 2025 et qui semble s'inscrire dans la continuité des familles de ransomware Royal et BlackSuit.
NLa neutralisation des solutions de sécurité endpoint pourrait permettre aux acteurs malveillants d'éviter d'être détectés lors de leurs attaques et du déploiement de leurs charges virales. Des outils dotés de ces fonctionnalités sont disponibles à la vente sur des forums underground. Ils peuvent être utilisés dans des attaques de type « Bring Your Own Vulnerable Driver » (BYOVD), qui consistent pour un acteur malveillant à installer un pilote sur le système d'une victime, puis à exploiter une vulnérabilité connue du pilote pour mener une activité post-compromission. D'autres outils offrant les mêmes fonctionnalités peuvent être disponibles dans le cadre de frameworks de pentest ou en tant qu'outils open source sur GitHub. Ces derniers gagnent en sophistication et sont de plus en plus intégrés à l’arsenal malveillant des groupes de ransomware. Il existe des preuves que les outils les plus efficaces sont partagés et personnalisés par plusieurs groupes différents.
Sophos a développé des mécanismes de détection et des règles de protection comportementale capables d'identifier et de stopper ce type d’évasion de la défense. Une bonne hygiène de sécurité constitue également une ligne de défense supplémentaire. En général, ces outils ne peuvent être utilisés efficacement que si les attaquants ont pu élever leurs privilèges et obtenir des droits de type administrateur. Une séparation stricte entre les droits administrateur et utilisateur peut contribuer à protéger contre les acteurs malveillants qui chargent ces types de pilotes et d'outils.
 | Quoi faire ensuite ? Activez la protection antialtération si votre système EDR le propose. |
La configuration est vraiment importante
De simples modifications de configuration peuvent entraîner des améliorations majeures en matière de sécurité.
Plusieurs incidents ont confirmé que les acteurs malveillants exploiteront les fonctionnalités natives des systèmes si des mesures de défense appropriées ne sont pas mises en place. Par exemple, en septembre, des attaquants ont continué d’utiliser la fonctionnalité ‘Direct Send’ de Microsoft 365 pour envoyer des emails de phishing qui semblaient provenir des organisations des victimes. Les imprimantes, les scanners et autres périphériques utilisent Direct Send pour envoyer des messages au nom d'une organisation, mais son absence d'authentification le rend vulnérable aux abus. Ces emails invitaient les victimes à consulter leurs bulletins de paie dans le but de récupérer leurs identifiants de connexion.
Selon Microsoft, l'utilisation sécurisée de Direct Send suppose que les clients ont correctement configuré les protocoles de sécurité de messagerie pour leurs locataires (tenants) Microsoft Exchange afin d'empêcher l'usurpation d'identité par email. Mais ce n’est pas toujours le cas. Outre une configuration appropriée, les clients peuvent suivre les recommandations de Microsoft pour exercer un contrôle plus précis sur Direct Send ou le désactiver complètement.
Les chercheurs de la CTU ont également observé des acteurs malveillants abusant de serveurs Windows exécutant des versions non corrigées de Windows Server Update Services (WSUS) après la mise à disposition par Microsoft de correctifs pour CVE-2025-59287 et la publication d’une preuve de concept (proof-of-concept) d'exploitation par un chercheur. Toutefois, les conseils de Microsoft en matière de mitigation des risques précisent que le rôle serveur WSUS n’est pas activé par défaut sur les serveurs Windows. La désactivation de ce rôle ou le blocage du trafic entrant vers certains ports sur le pare-feu hôte empêche les serveurs d'être vulnérables à cette faille.
Dans de nombreux cas, la modification de configuration la plus simple et la plus utile à des fins de renforcement de la sécurité reste le blocage de l'accès aux appareils et aux services depuis Internet lorsque cela n'est pas nécessaire.
| Quoi faire ensuite ? Vérifiez les paramètres de configuration de Direct Send et déterminez si un renforcement de la sécurité supplémentaire est nécessaire. |
Les infostealers restent des précurseurs majeurs d’attaques de ransomware
Les identifiants volés ouvrent la voie à des attaques supplémentaires, généralement le déploiement de ransomwares.
Les chercheurs de la CTU ont investigué le déploiement du ransomware Qilin après qu'une attaque ClickFix a conduit à une infection par un infostealer. Qilin est une famille de ransomware très active exploitée par GOLD FEATHER. Son site de fuites de données a répertorié le plus grand nombre de victimes des attaques de type name-and-shame entre octobre 2024 et septembre 2025. ClickFix est une tactique de plus en plus courante utilisée par les acteurs malveillants pour inciter les victimes à coller du code malveillant dans la boîte de dialogue Run de leur appareil. Dans ce cas précis, le code malveillant a entraîné le téléchargement de l’infostealer StealC V2.
Les infostealers sont des malwares qui dérobent des données sur les appareils qu'ils infectent, notamment les identifiants et les jetons utilisateur. Ces identifiants sont ensuite soit utilisés par le même acteur malveillant pour accéder aux réseaux, soit regroupés sous forme de logs d'activité et vendus sur des marketplaces underground. Les acheteurs les utilisent ensuite dans des attaques qui aboutissent souvent au déploiement de ransomwares. Les infostealers peuvent être diffusés via des attaques de phishing, des téléchargements drive-by ou bien via d'autres malwares.
StealC a été proposé à la vente pour la première fois sur le dark web au plus tard en janvier 2023 et a été utilisé régulièrement depuis. La version 2 a été lancée en 2025. D'autres infostealers proposaient beaucoup plus de logs de connexion ; par exemple, plus de cinq fois plus de logs de connexion LummaC2 étaient en vente sur le marché russe fin 2024. Cependant, LummaC2 a connu une forte baisse du nombre de logs capturés, probablement en raison d'une série de perturbations en 2025, notamment une intervention des forces de l'ordre en mai et la divulgation ultérieure des informations personnelles de ses développeurs, qui ont affecté l'infrastructure et les opérateurs de LummaC2. StealC et d'autres infostealers populaires pourraient voir leur utilisation augmenter en conséquence.
Les voleurs/stealers vont et viennent, mais globalement, ils restent une menace persistante. Les organisations peuvent se prémunir contre cette menace en installant régulièrement des correctifs sur les appareils accessibles depuis Internet, en mettant en œuvre de manière exhaustive une authentification multifacteur (MFA) résistante au phishing dans le cadre d'une politique d'accès conditionnel et enfin en surveillant leur réseau et leurs systèmes endpoint pour détecter toute activité malveillante.
| Quoi faire ensuite ? Sensibilisez les employés aux dangers des infostealers dans le cadre d’un processus de formation continue à la sécurité. |
Conclusion
Une bonne posture défensive ne nécessite pas toujours plusieurs couches de produits de sécurité différents ou nouveaux. Parfois, des améliorations significatives peuvent provenir de mesures aussi simples que de s'assurer que les implémentations soient exhaustives, de renforcer les configurations ou d'appliquer le principe du moindre privilège aux autorisations des comptes.
Billet inspiré de Threat Intelligence Executive Report – Volume 2025, Number 6, sur le Blog Sophos.