11 Oct
Depuis plusieurs années, les ransomwares sont devenus une menace omniprésente pour la sécurité numérique des entreprises et des institutions. Parmi les cas récents les plus marquants, on note l’usage détourné de Velociraptor, un outil open-source de forensic numérique et de réponse aux incidents, par des cybercriminels pour répandre des malwares comme LockBit et Warlock.
Qu’est-ce que Velociraptor et pourquoi son usage est détourné ?
Velociraptor est un outil conçu pour permettre aux équipes de sécurité de collecter des données précieuses sur les incidents de sécurité, dans le but de remédier efficacement aux attaques. Cependant, lorsqu’il tombe entre de mauvaises mains, cet outil peut être détourné pour collecter des informations sensibles ou exécuter des commandes arbitraires sur des systèmes compromis. Une ancienne version de Velociraptor, vulnérable à une élévation de privilèges ([CVE-2025-6264](https://docs.velociraptor.app/announcements/advisories/cve-2025-6264/)), a été exploitée par le groupe Storm-2603 pour mener des cyberattaques complexes.
Storm-2603 et son lien avec les acteurs étatiques
Storm-2603, parfois aussi connu sous le nom CL-CRI-1040 ou Gold Salem, est soupçonné d’avoir des liens avec des acteurs étatiques chinois. Ce groupe se distingue par son accès rapide aux exploits tels que ToolShell, utilisé pour exploiter des vulnérabilités SharePoint.
Ces cybercriminels déploient stratégiquement des ransomwares variés comme Warlock, LockBit, et plus récemment Babuk, afin de brouiller les pistes et rendre la traçabilité plus difficile. Cette diversification s’accompagne d’une organisation quasi-militaire, avec des cycles de développement rapides et une infrastructure sophistiquée.
Pourquoi ces exploits donnent un avantage aux hackers
L’avantage stratégique des hackers réside dans leur capacité à tirer parti d’outils légitimes. Comme l’a signalé la société Rapid7, les fonctionnalités standard de Velociraptor peuvent être transformées en outils d’attaque s’ils sont utilisés pour orchestrer des actions malveillantes telles que l’exécution de fichiers ou la surveillance des endpoints.
Christiaan Beek, directeur chez Rapid7, met en perspective le problème : “Ce comportement reflète un mauvais usage de l’outil plutôt qu’une faille logicielle.” Cette déclaration souligne une vérité importante dans le domaine de la cybersécurité : toute technologie peut devenir une arme si elle est exploitée incorrectement.
Les stratégies de défense face à ces menaces
Face à l’émergence croissante d’attaques sophistiquées, les entreprises doivent renforcer leurs défenses en matière de cybersécurité. Voici quelques recommandations :
- Mise à jour des logiciels : Maintenir les outils comme Velociraptor à jour permet de réduire les risques d’exploitation via des vulnérabilités connues.
- Surveillance proactive : Implémentez une surveillance constante de vos systèmes pour détecter et répondre rapidement aux comportements suspects.
- Sensibilisation des équipes : Former les employés aux pratiques de cybersécurité pour réduire les risques d’ingénierie sociale.
Quelles leçons tirer de ces incidents ?
L’adoption d’une approche holistique en cybersécurité est indispensable. Les outils tels que Velociraptor sont des alliés précieux lorsqu’ils sont utilisés correctement. Toutefois, les incidents comme ceux initiés par Storm-2603 rappellent aux professionnels de la sécurité l’importance d’anticiper les éventuels détournements de ces technologies.
En finalité, la collaboration entre agences de cybersécurité et entreprises reste une pierre angulaire pour atténuer les risques liés aux ransomwares et protéger l’écosystème numérique global.
Lynx Intel propose un accompagnement stratégique pour anticiper et contrer les menaces numériques. Contactez-nous pour sécuriser vos infrastructures critiques et former vos équipes face aux dangers émergents.
