Des entreprises victimes du malware RedLine via des logiciels d’entreprise piratés

Posted On 10 Déc 2024

Comment: Off

Les entreprises utilisant des logiciels piratés subissent une campagne de vol d’informations via le malware RedLine, déguisé en outil de contournement de licence.

Depuis janvier 2024, les entreprises russes utilisant des logiciels d’automatisation piratés sont ciblées par une campagne de vol d’informations orchestrée par des cybercriminels. Les attaquants diffusent le malware RedLine, déguisé en outil conçu pour contourner les exigences de licence des logiciels d’entreprise, via des forums locaux fréquentés par des chefs d’entreprise et des comptables. Pour assurer leur succès, les criminels demandent aux victimes de désactiver leur antivirus avant l’installation.

RedLine, un info stealer vendu comme un service sur des forums clandestins, est capable d’exfiltrer des données sensibles, notamment des identifiants, des informations système et des messages. Bien que l’infrastructure principale du malware ait été démantelée en novembre par les forces de l’ordre internationales, il continue d’être utilisé pour cibler les entreprises. Ce phénomène met en lumière les risques accrus pour les entreprises russes, particulièrement vulnérables depuis la suspension des licences logicielles occidentales suite à l’invasion de l’Ukraine par Moscou.

Le malware redline, une menace constante pour les entreprises

RedLine est un logiciel malveillant bien connu dans les cercles cybercriminels. Ce stealerinfo est vendu comme un service sur des forums clandestins, il offre une multitude de fonctionnalités, notamment l’exfiltration d’identifiants, de données sensibles depuis les navigateurs, ainsi que des informations détaillées sur les systèmes infectés. Il permet aussi de produire des captures écran de la machine infiltrée. Ce malware a été largement utilisé dans des campagnes ciblant principalement des utilisateurs individuels, mais sa récente utilisation contre des entreprises marque un changement inquiétant. Le Service Veille ZATAZ a déjà pu analyser pas moins de 100 millions de liens (url:mot de passe:mail) volés par des utilisateurs de RedLine.

Depuis janvier 2024, des entreprises russes utilisant des logiciels d’automatisation piratés sont ciblées par une campagne diffusant RedLine. Les cybercriminels exploitent des forums en ligne russophones pour promouvoir des outils prétendument capables de contourner les restrictions de licence. Ces outils malveillants, présentés comme des solutions aux restrictions imposées par les sanctions internationales, infectent les appareils des victimes après qu’elles ont désactivé leurs antivirus.

« RedLine peut exfiltrer des identifiants, des messages et des données système, causant des dégâts considérables aux entreprises ciblées. »

Cette campagne met en lumière une tactique classique : l’utilisation de logiciels piratés comme vecteurs d’infection. Cependant, le ciblage des entreprises, plutôt que des particuliers, indique une évolution stratégique des cybercriminels.

Service veille ZATAZ : nous cherchons vos données piratées

ZATAZ cherche pour vous toutes les infos perdues, volées, piratées, et pas que vos mots de passe !

Un contexte favorable aux cyberattaques en russie

Depuis l’invasion de l’Ukraine en 2022, les entreprises russes sont confrontées à un accès limité aux logiciels occidentaux. Des entreprises comme Microsoft ont suspendu leurs services en Russie et révoqué les licences de logiciels déjà en usage. Ces restrictions ont poussé de nombreuses entreprises russes à se tourner vers des solutions piratées pour continuer leurs activités.

Ce contexte a créé un terrain fertile pour les cybercriminels. En proposant des outils piratés, ils exploitent la dépendance des entreprises russes aux logiciels d’automatisation tout en les exposant à des cyberattaques sophistiquées. Cette stratégie montre que les cybercriminels adaptent leurs tactiques aux situations géopolitiques, ciblant des organisations déjà vulnérables en raison des sanctions.

« Les restrictions logicielles occidentales ont poussé de nombreuses entreprises russes vers des solutions piratées, augmentant leur exposition aux cyberattaques. »

RedLine, déguisé en outil de contournement, est devenu une arme puissante pour infiltrer ces entreprises. Les données volées peuvent ensuite être revendues sur des marchés noirs ou utilisées pour des attaques secondaires, amplifiant les dommages pour les entreprises concernées.

Redline, un malware sous surveillance malgré son démantèlement

En novembre 2024, les autorités internationales ont annoncé avoir démantelé l’infrastructure principale de RedLine. Un ressortissant russe, Maxim Rudometov, a été inculpé pour son rôle dans le développement et l’administration du malware. Cependant, cette campagne récente montre que RedLine reste une menace active, ses opérateurs ayant trouvé des moyens alternatifs pour diffuser le logiciel.

Selon les chercheurs de Kaspersky, les attaquants cherchent principalement à obtenir un accès aux systèmes des entreprises russophones, sans qu’il soit clair si leurs motivations sont financières ou politiques. Cela souligne la résilience des cybercriminels, qui adaptent rapidement leurs stratégies face aux mesures de répression.

Cette campagne reflète également une tendance inquiétante : les cybercriminels ciblent de plus en plus les entreprises au lieu des utilisateurs individuels, exploitant leur dépendance à des outils technologiques essentiels. Pour les entreprises, cela signifie qu’il est impératif de renforcer leurs défenses, même dans des environnements où les logiciels légitimes sont limités.

Chronologie

Janvier 2024 : Début de la campagne utilisant RedLine pour infecter des entreprises russes. Octobre 2024 : Maxim Rudometov inculpé pour son rôle dans le développement de RedLine. Novembre 2024 : Démantèlement de l’infrastructure principale de RedLine par les forces de l’ordre internationales.

Cette campagne de diffusion du malware RedLine montre à quel point les entreprises peuvent devenir vulnérables lorsqu’elles utilisent des logiciels piratés. Les cybercriminels exploitent les faiblesses structurelles et les pressions géopolitiques pour maximiser leurs profits, exposant les organisations à des risques considérables.

Pour ne rien manquer des actualités sur les cybermenaces, abonnez-vous dès maintenant à la newsletter de ZATAZ. Rejoignez également notre groupe WhatsApp pour accéder à des informations exclusives, des alertes en temps réel et des conseils pratiques pour protéger vos données. Ensemble, restons vigilants face à la cybercriminalité.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.