Archives par mot-clé : Active Directory

APT, Cybersécurité, Entreprise, IA

L’IA au service d’un piratage éclair de FortiGate

Entre automatisation et négligence, une campagne récente montre comment des interfaces d’administration exposées et des mots de passe faibles suffisent à ouvrir des réseaux entiers, à grande échelle.

Une analyse d’Amazon décrit une campagne menée entre le 11 janvier et le 18 février 2026, où un cybercriminel motivé par le profit a compromis plus de 600 équipements FortiGate dans 55 pays. L’attaque ne reposait pas sur des failles logicielles, mais sur des consoles de gestion laissées accessibles depuis Internet et protégées par une authentification simple avec des mots de passe faciles à deviner. En s’appuyant sur plusieurs services commerciaux d’IA générative, l’attaquant a industrialisé la méthode, récupérant configurations, identifiants, plans réseau et paramètres VPN. Objectif final, pénétrer l’interne, viser Active Directory et sonder les sauvegardes, un signal souvent associé aux préparatifs d’un rançongiciel.

Une intrusion sans vulnérabilité, portée par l’automatisation

Le scénario a quelque chose d’inconfortable, parce qu’il n’exige ni exploit sophistiqué ni compétence rare. D’après Amazon, du 11 janvier au 18 février 2026, soit 38 jours si l’on compte du premier au dernier jour, un acteur cybercriminel a pris pied sur plus de 600 équipements FortiGate répartis dans 55 pays. Le volume et la dispersion géographique donnent l’impression d’une opération structurée, pourtant l’analyse conclut à un profil non étatique, plutôt un loup solitaire ou un petit noyau opportuniste.

Le point d’entrée n’est pas une vulnérabilité du produit. L’attaquant a cherché des interfaces de gestion directement exposées sur Internet, puis a tenté de deviner ou de forcer des mots de passe trop faibles, avec une authentification à facteur unique. Le cœur du problème est donc une erreur de configuration élémentaire, que l’on retrouve encore dans des entreprises de toutes tailles, parfois par héritage de choix anciens, parfois par manque de contrôle, souvent parce que l’accès distant “temporaire” finit par devenir permanent.

Ce qui change, selon Amazon, c’est la cadence. Plusieurs services commerciaux d’IA générative auraient servi à mettre en place une chaîne d’actions quasi automatique. L’IA ne « pirate » pas à elle seule, mais elle peut accélérer la préparation, l’enchaînement des étapes, la normalisation des commandes, l’adaptation des scripts et la production de variations lorsque l’environnement diffère légèrement. À l’échelle d’Internet, ce gain de temps transforme une routine d’attaquant en moisson industrielle. Quand la barrière technique baisse, le véritable facteur limitant devient la discipline d’hygiène numérique du côté des défenseurs.

De la configuration au cœur du réseau, la trajectoire classique

Une fois l’équipement compromis, l’attaquant a téléchargé les configurations complètes. C’est un trésor opérationnel, parce qu’il peut y trouver des identifiants, des informations de topologie, des indices sur la segmentation, ainsi que des paramètres de réseau privé virtuel. À partir de là, le basculement est logique, l’objectif n’est pas l’équipement lui-même, mais la porte qu’il ouvre sur l’infrastructure interne des organisations.

L’analyse décrit ensuite une progression vers les domaines Active Directory. Cette étape est un pivot, car Active Directory concentre l’identité, les droits et souvent les clés d’accès aux ressources critiques. L’attaquant a extrait des bases de données de comptes et, dans certains cas, a obtenu des ensembles complets de hachages de mots de passe. Même sans casser immédiatement ces hachages, leur possession facilite la réutilisation d’identifiants, les tentatives hors ligne et la cartographie des privilèges.

Un autre détail pèse lourd, l’intérêt marqué pour les serveurs de sauvegarde. Dans la pratique des intrusions à but lucratif, les sauvegardes sont la bouée de secours des victimes, donc une cible prioritaire pour qui veut monétiser l’accès. L’analyse souligne que cette curiosité pour les systèmes de backup intervient fréquemment avant le déploiement d’un rançongiciel. Autrement dit, la compromission du périmètre n’est qu’un début, le vrai risque se situe dans la capacité à rendre la restauration impossible ou douloureuse.

Enfin, la campagne semble guidée par un pragmatisme froid. Lorsque l’environnement imposait des opérations plus complexes, l’attaquant ne s’acharnait pas et passait à une autre cible. Cette discipline révèle une logique de rendement, maximiser les gains en minimisant le temps passé par victime. C’est précisément là que l’IA générative, utilisée comme accélérateur, renforce le modèle, elle aide à standardiser l’approche et à éliminer les frictions, sans nécessairement augmenter la profondeur technique de l’attaque.

Au bout du compte, cette affaire rappelle une vérité de cyber-renseignement, l’avantage revient à celui qui transforme de petites failles d’hygiène en informations actionnables, vite, à grande échelle.

Cybersécurité, Securite informatique, Virus

SwiftSlicer, un nouveau virus pour détruire Windows ?

Des chercheurs identifient un nouveau logiciel malveillant de récupération de données du nom de SwiftSlicer capable de détruire Windows.

Voilà un code malveillant dès plus déplaisant. Son nom, SwiftSlicer. On peut traduire cette chose par « trancheur rapide ». Sa mission malveillante et d’écraser les fichiers importants utilisés par le système d’exploitation Windows.

SwiftSlicer utilise la stratégie de groupe Active Directory qui permet aux administrateurs de domaine d’exécuter des scripts et des commandes sur tous les appareils d’un réseau Windows.

Ce virus a été déployé pour supprimer (ou écraser) les fichiers critiques dans le répertoire système de Windows, en particulier les pilotes et la base de données Active Directory.

SwiftSlicer écrase les données en utilisant des blocs de 4096 octets remplis d’octets générés aléatoirement. Une fois le code de destruction des données terminé, le logiciel malveillant redémarre et remet les systèmes à zéro.

Cybersécurité

Sécurisation des connexions Active Directory

Comment sécuriser des connexions Active Directory aussi simplement que possible ? La société IS Decisions propose sa solution UserLock qui permet de maintenir les portes fermées aux assauts pirates.

La solution de gestion des accès UserLock est évaluée par James Rankin, spécialiste de la connexion de la protection des accès. Il explique qu’UserLock a beaucoup de potentiel. « J’ai trouvé la configuration initiale très facile et en particulier la configuration MFA était également extrêmement simple.« . La fameuse et indispensable double authentification qui laissera n’importe quel pirate au porte de l’espace qu’il convoite. « Il n’est pas surprenant que la sécurisation de l’accès à Active Directory figure en tête de liste des priorités, car un pourcentage important d’entreprises s’appuient sur AD pour étayer leurs applications et services » confirme James Rankin.

Pour en savoir plus sur UserLock est l’amélioration de la gestion et la sécurité d’une implémentation AD, un test complet est présenté ici.

Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Entreprise, Fuite de données, ransomware, Securite informatique

Observation de l’évolution des tactiques de diffusion des ransomwares

Il y a quatre ans de cela, les criminels envoyaient des mails à des millions d’adresses, diffusant des variantes de logiciels rançonneurs, via des liens infectés ou des documents Word, sans logique ou ciblage apparent. Aujourd’hui, les ransomware se professionnalisent !

Lorsque les logiciels rançonneurs ont commencé à chiffrer les ressources disponibles sur les réseaux, les entreprises ont commencé à y prêter un peu plus attention. Cette étape de l’évolution des logiciels rançonneurs a vu la méthode de diffusion éparpillée précédemment mentionnée se combiner au chiffrement de fichiers disponibles aussi bien sur le serveur local que sur les serveurs d’entreprise. Le chiffrement du serveur de fichiers d’une infrastructure ou de son système de stockage en réseau entraîne plus de dommages pour l’entreprise que le chiffrement d’un poste de travail individuel. Dans ce contexte, la hotline de notre équipe d’intervention a commencé à recevoir plus d’appels, au cours desquels les administrateurs informatiques des systèmes touchés par des logiciels rançonneurs ont commencé à se poser des questions très sérieuses sur les conséquences associées au paiement des rançons.

Cette tendance des ransomwares à chiffrer les partages réseau, et l’attention accrue qui en résulte, est probablement à l’origine des phases suivantes de leurs techniques de déploiement.

Frappes de précision : l’essor du protocole RDP (Remote Desktop Protocol)

En 2016, nous avons commencé à constater des infections massives de logiciels rançonneurs au cours desquelles plusieurs actifs essentiels de l’environnement des victimes étaient simultanément infectés, et avons donc constaté davantage d’interactions entre les agresseurs et leurs victimes (en raison de l’impact de leurs logiciels rançonneurs sur l’environnement des victimes). La communauté de sécurité s’est livrée à des enquêtes plus poussées qui ont confirmé ces soupçons : des cybercriminels utilisaient le protocole RDP, un protocole propriétaire conçu par Microsoft, pour fournir aux utilisateurs l’interface graphique d’un système distant, afin de s’introduire dans l’environnement des victimes.

Une fois en place, les agresseurs déployaient généralement des outils permettant de rechercher et d’exploiter des relations utilisateur/groupe/administrateur mal configurées ou non intentionnelles. Les paramètres Active Directory mal configurés ou non intentionnels sont les meilleurs alliés des cybercriminels, en leur permettant d’accéder aux privilèges de l’administrateur du domaine. Dès que le compte de ce dernier est compromis, les hackers ont la possibilité d’effectuer une reconnaissance du réseau pour identifier les actifs les plus critiques et les infecter.

Après avoir identifié les serveurs critiques et les systèmes de sauvegarde dans l’environnement, les hackers peuvent désormais utiliser les outils d’administration système intégrés à Windows pour déployer largement leurs logiciels rançonneurs.

A ce stade, les agresseurs n’essayaient donc plus d’envoyer un email à chaque personne présente sur le web. Avec le protocole RDP, ils savaient exactement qui et quoi cibler, en infectant simultanément des ressources critiques grâce à leur nouvel accès à l’environnement des victimes.

La prochaine étape des logiciels rançonneurs : les botnets

La tactique consistant à utiliser le RDP comme base initiale pour ces déploiements de logiciels rançonneurs en volume, interactifs, programmés ou manuels, était devenue si courante qu’elle faisait l’objet de nos premières questions lors de la prise en charge de nouveaux incidents. Cependant, pour les cas récents tels que le logiciel rançonneur Ryuk [1], nous assistons à une autre évolution des tactiques de diffusion. Lorsque nous enquêtons sur les victimes pour déterminer si elles sont exposées au niveau du RDP, nous pouvons constater que ce protocole n’est pas activé, ou que l’accès se fait via VPN. Dans cette mesure, il n’expose pas directement les victimes sur Internet.

Ces cas nécessitent des enquêtes plus approfondies. Dans plusieurs cas récents, nous découvrons des infections de bots corrélées à la chronologie des infections de logiciels rançonneurs.

Au cours du mois dernier, nous avons observé des infections de TrickBot, d’Emotet et d’AdvisorsBot qui correspondent parfaitement au moment du déploiement des logiciels rançonneurs. Ces infections par bots sont généralisées dans l’environnement des victimes, et tirent également parti des relations d’approbation mal configurées dans Active Directory pour se répandre latéralement. Cette tendance à l’utilisation des bots pour s’implanter ne fait qu’augmenter.

Dans ces cas, nous constatons que des e-mails de phishing contenant des documents Word malveillants sont le vecteur de diffusion des bots. Ces documents Word malveillants contiennent un contenu exécutable appelé macros. Lors de nos analyses des infections par TrickBot et AdvisorsBot relatives aux logiciels rançonneurs, nous constatons que les victimes ont ouvert le mail. Ouvert les documents joints. Permis aux macros de s’éxecuter.

À ce stade, le contenu exécutable dans les macros installe un bot ou contacte le serveur de commande et de contrôle du botnet pour obtenir du code malveillant supplémentaire, qui est finalement le véritable logiciel malveillant.

C’est une évolution des tactiques de déploiement des logiciels rançonneurs. La tendance observable de diffusion des ransomwares, allant de l’email de phishing opportuniste jusqu’à l’implantation et la reconnaissance via une configuration RDP compromise, se poursuit aujourd’hui par une implantation avancée au cœur du réseau grâce à des infections par bots qui se propagent latéralement.

En conclusion, la tendance d’implantation des bots pour propager des logiciels rançonneurs continuera à se développer. A l’avenir, différents bots seront utilisés simultanément. Mais le fait qu’ils offrent une persistance et facilitent le déploiement de logiciels malveillants supplémentaires en font un choix évident en matière d’implantation malveillante.

Conseil de l’équipe d’intervention Check Point

Au cours des différentes enquêtes, il a été découvert que la plupart des victimes avaient involontairement autorisé l’accès RDP au réseau depuis Internet en raison de la configuration des règles de sécurité sur le pare-feu, autorisant trop de ports ou configurant incorrectement l’IP/le masque réseau. La fonctionnalité « Packet Mode » de R80.10 [1] nous permet de vérifier rapidement si les ports RDP sont exposés sur Internet. Les règles de la blade Compliance (conformité) peuvent également être configurées pour émettre une alerte en cas d’exposition accidentelle de RDP. (Par l’équipe d’intervention de Check Point).