Services offerts par une société iranienne obscure connue sous le nom de Nuageux sont exploités par de multiples acteurs de la menace, y compris des groupes de cybercriminalité et des équipes d’États-nations.
« Bien que Cloudzy soit incorporé aux États-Unis, il opère presque certainement à partir de Téhéran, en Iran – en violation possible des sanctions américaines – sous la direction de quelqu’un
passe par le nom Hassan Nozar« , a déclaré Halcyon dans un nouveau rapport publié mardi.
La société de cybersécurité basée au Texas a déclaré que la société agissait en tant que fournisseur de commande et de contrôle (C2P), qui fournit aux attaquants des serveurs privés virtuels RDP (Remote Desktop Protocol) et d’autres services anonymisés que les affiliés de ransomwares et d’autres utilisent pour retirer le cybercriminel. efforts.
« [C2Ps] bénéficient d’une échappatoire de responsabilité qui ne les oblige pas à s’assurer que l’infrastructure qu’ils fournissent n’est pas utilisée pour des opérations illégales », a déclaré Halcyon dans un communiqué partagé avec The Hacker News.
Le modèle commercial du rançongiciel en tant que service (RaaS) est en pleine évolution, englobant les principaux développeurs ; les affiliés, qui commettent les attaques en échange d’une coupe ; et les courtiers d’accès initial, qui exploitent les vulnérabilités connues ou les informations d’identification volées pour prendre pied et vendre cet accès aux affiliés.
L’émergence des fournisseurs de C2P indique un nouvel ensemble d’acteurs qui « sciemment ou non » fournissent l’infrastructure pour mener les attaques.
Certains des acteurs clés qui sont évalués comme tirant parti de Cloudzy comprennent des entités parrainées par l’État de Chine (APT10), d’Inde (Sidewinder), d’Iran (APT33 et APT34), de Corée du Nord (Kimsuky, Konni et Lazarus Group), du Pakistan (Transparent Tribe), la Russie (APT29 et Turla) et le Vietnam (OceanLotus) ainsi que des entités de cybercriminalité (Evil Corp et FIN12).
Également dans le mélange sont deux affiliés de ransomwares surnommés Ghost Clown et Space Kook qui utilisent respectivement les souches de ransomwares BlackBasta et Royal, et le fournisseur de logiciels espions israélien controversé Candiru.
On soupçonne que les acteurs malveillants misent sur le fait que l’achat de services VPS auprès de Cloudzy ne nécessite qu’une adresse e-mail fonctionnelle et un paiement anonyme en crypto-monnaie, ce qui le rend propice aux abus et augmente la possibilité que les acteurs de la menace puissent armer des entreprises peu connues pour alimenter hacks majeurs.
« Si votre serveur VPS est suspendu en raison d’une utilisation abusive ou abusive telle que des utilisations interdites : hameçonnage, spam, pédopornographie, attaque d’autres personnes, etc. », lit la documentation d’assistance sur le site Web de Cloudzy. « Il y a une amende de 250 $ à 1 000 $ ou PAS DE SUSPENSION ; cela dépend du type de plainte. »
« Bien que ces entités C2P soient des entreprises ostensiblement légitimes qui peuvent ou non savoir que leurs plates-formes sont exploitées pour des campagnes d’attaque, elles constituent néanmoins un pilier clé de l’appareil d’attaque plus large exploité par certains des acteurs de la menace les plus avancés », a déclaré la société. .
