Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

23/01/2023

Cybersecurity Insights

Analyse de la menace : Karakurt

Parmi les groupes d’attaquants ayant été actifs en 2022, on trouve celui affichant le logo d’une Veuve Noire: Karakurt. Il a été remarqué en compromettant plusieurs grandes entreprises et notamment l’Autorité de Régulation des Télécommunications et des Postes (ARTP) du Sénégal, qui a été l’une de ses dernières victimes. Cette attaque médiatisée a permis de mettre en lumière le mode opératoire du groupe ainsi que l’importance de la gestion de crise pour les organisations touchées.

L’équipe CTI et le SOC/CERT d’Almond proposent un portrait robot du groupe Karakurt ainsi que des informations supplémentaires sur leur supposée affiliation avec le groupe Conti. Leur récente attaque contre l’ARTP a, de plus, conduit à se poser les questions suivantes : Quel est l’état de la menace cyber sur le continent africain et quelles sont les stratégies mises en place pour y répondre ?

Identité :
Karakurt Team
Karakurt Lair

Motivation financière :
Rançon demandée (BTC)
25k$ – 13M$

Objectif : exfiltration de données, demande de rançon sans chiffrement de données.

16 victimes
en moyenne par mois

Les Etats-Unis, le Canada et
la Turquie sont les pays les plus touchés.

Affiliation avec Conti

L’équipe CTI et le SOC/CERT d’Almond invitent à réfléchir à ces questions au travers de ce rapport avec :

  • Une synthèse des informations disponibles sur le site web du groupe ;
  • Un détail du mode opératoire du groupe ainsi que les techniques et outils utilisés ;
  • Un focus sur le lien entre Karakurt et Conti ;
  • Une analyse sur l’état de la menace en Afrique et les stratégies de protection associées.

Etat de la menace en Afrique

Croissance exponentielle de la menace

La tendance actuelle de numérisation des infrastructures est une des premières causes de la forte augmentation de la cybercriminalité touchant les pays africains.

Le continent africain a entamé depuis quelques années cette phase de numérisation accélérée. On peut citer notamment la Stratégie de transformation numérique pour l’Afrique (2020-2030) de l’Union Africaine et des stratégies nationales telles que celles de la Côte d’Ivoire ou du Sénégal.

Néanmoins, pour la plupart des pays, ces politiques de transformation n’ont pas toujours été accompagnées de stratégies de cybersécurité efficientes afin de garantir un niveau de protection des systèmes d’information suffisant.

De ce fait, les quelques 500 millions utilisateurs d’Internet et les entreprises et institutions sont ciblés par les groupes d’attaquants.

A cela s’ajoute, la pénurie d’experts de la cybersécurité pour accompagner les entreprises et les administrations dans leurs travaux de sécurisation des infrastructures.

En 2021, Interpol et l’AFJOC (African Joint Operation  against Cybercrime) présentaient leur rapport sur l’état de la menace en Afrique.

Les principales menaces identifiées étaient la fraude en ligne, l’extorsion numérique, la compromission de e-mails professionnels (BEC), les rançongiciels et les botnets.

Fraude en ligne

Extorsion numérique

BEC

Ransomware

Botnets

Mai 2022 | Mali

Direction générale des impôts – attaquée par Lockbit

Octobre 2022 | Sénégal

Agence de Régulation des Télécommunication et des Postes

Novembre 2022 | Sénégal

Agence pour la sécurité de la navigation aérienne en Afrique et Madagascar – attaquée par Lockbit

Novembre 2022 | Tanzanie

Tanzania Telecommunication Company Ltd

Novembre 2022 | Gambie

Banque centrale – attaquée par Blackcat

Focus sur l’attaque de l’ARTP

Karakurt a à son actif trois victimes sur le continent africain : l’Agence sénégalaise de Régulation des Télécommunications et des Postes (ARTP), la Tanzania Telecommunication Company Ltd, l’entreprise sud-africaine SAPPI Ltd.

L’attaque de Karakurt contre l’Agence de Régulation des Télécommunications et des Postes (ARTP) a été médiatisée. Cette violation de données, rendue publique le 17 octobre 2022 contre une infrastructure gouvernementale, a mis en lumière les manquements en matière de cybersécurité et de gestion de crise.

L’ARTP n’a réalisé aucune communication publique, ni via la presse, les réseaux sociaux ou encore via son site institutionnel pour informer le public de la violation, des risques potentiels, ou encore pour exposer les moyens mis en œuvre pour y répondre.

L’institution a refusé de payer la rançon et près de 102Go de données ont été publiées sur le site du groupe. Il s’agit principalement d’échanges d’e-mails avec d’autres ministères, des opérateurs de télécommunication, des informations sur des projets passés et à venir ou encore des données à caractère personnel.

Le manque de transparence des organisations du continent africain a été remarqué sur l’ensemble des attaques médiatisées listées ci-contre. En s’abstenant de communiquer, les organisations ne maitrisent pas les informations qui circulent; cela peut avoir un impact important sur leur image et augmenter les conséquences néfastes de la cyberattaque.

Pour lire le bulletin en entier, contactez-nous : [email protected]

Ophélie WEBER

Consultante Governance, Risks & Compliance

Alia SAADI

Consultante Governance, Risks & Compliance

Chloé GREDOIRE

Consultante Governance, Risks & Compliance

Albane GIROLLET

Consultante Governance, Risks & Compliance

Mathilde DELAUNEY-RISSETTO

Consultante Governance, Risks & Compliance

Anis ZAHZAH

Consultant SOC CERT Almond CWATCH

Voir les derniers Cybersecurity Insights

13 November 2023
Comme chaque année, SWIFT met à jour son standard CSCF et apporte son lot de nouveautés. Nous vous proposons ici quelques clés de lecture associées aux changements fondamentaux apportés par le CSCF v2023
11 October 2023
Comme chaque année, SWIFT met à jour son standard CSCF et apporte son lot de nouveautés. Nous vous proposons ici quelques clés de lecture associées aux changements fondamentaux apportés par le CSCF v2023
5 October 2023
Nouvelles menaces cyber, nouvelles solutions : téléchargez le Threat Landscape 2022-2023 Almond !
16 June 2023
Le SASE en 7 min chrono : décrypter le SASE, sa fonction et ses usages. Pour y voir plus clair, nous vous proposons d’entrer en immersion dans les plateformes SASE des experts du secteur. Découvrons ensemble, la solution SASE proposée par Cato Networks. Joseph Fernando, SE Manager South EMEA, chez Cato Networks réalise une démonstration technique de la solution Cato SASE Cloud, au côté de Benoit Vérove, Partner et Lead Security Integration chez Almond.
12 June 2023
Comme chaque année, SWIFT met à jour son standard CSCF et apporte son lot de nouveautés. Nous vous proposons ici quelques clés de lecture associées aux changements fondamentaux apportés par le CSCF v2023
5 June 2023
Depuis 2021, tous les clients SWIFT se trouvent dans l’obligation de réaliser une évaluation de conformité dans le cadre du Customer Security Program (CSP) de SWIFT.
2 June 2023
Décryptez la technologie SASE, au travers d'une démonstration technique de la solution Harmony Connect proposée par Check Point.
2 June 2023
Le 24 mai 2023, le gouvernement Américain a publiquement attribué à la Chine une série d’attaques ciblant des infrastructures critiques situées aux États-Unis ainsi que sur l’île de Guam.
26 May 2023
La Chine étant devenue un acteur incontournable du cyberespace, elle s’implique également dans l’élaboration d’un régime de protection des données.
4 May 2023
Après quelques rappels de la Directive NIS 1, l'article présentera les évolutions attendues avec l'adoption de la Directive NIS 2 et sa date d'entrée en vigueur.

Jour 4 : Quel type d'attaque peut être qualifié de "triple extorsion" ?

  • Réponse 1 : Une attaque par ransomware
  • Réponse 2 : Une attaque par hameçonnage
  • Réponse 3 : Une attaque par déni de service
  • Réponse 4 : Une attaque par empoisonnement du cache DNS

Pour y répondre, rendez-vous sur notre page Linkedin ! A vos votes !

Jour 3 : Parmi ces quatre choix, lequel définit le mieux ce qu’est l’ISO 27001 ?

  • Réponse 1 : Un standard listant un ensemble d’exigences relatives à la sécurité des systèmes informatiques d’une entreprise
  • Réponse 2 : Une norme listant un ensemble de bonnes pratiques permettant d’optimiser la cybersécurité au sein d’une l’entreprise
  • Réponse 3 : Une norme listant un ensemble d’exigences relatives à la sécurité des informations nécessaires à une entreprise
  • Réponse 4 : Un standard listant un ensemble de méthodes pour optimiser les pratiques relatives à la sécurité des informations utilisées par une entreprise

Pour y répondre, rendez-vous sur notre page Linkedin ! A vos votes !

Jour 2 : Qu'est-ce qu'une attaque DDoS?

  • Réponse 1 : Un logiciel espion qui enregistre ce qu’écrit un utilisateur
  • Réponse 2 : Un procédé visant à perturber l’accès à un site ou une application
  • Réponse 3 : Un virus informatique qui chiffre l’OS de votre ordinateur en échange d’une rançon
  • Réponse 4 : Une attaque Informatique visant à détermine votre mot de passe en testant un grand nombre de possibilité

Pour y répondre, rendez-vous sur notre page Linkedin ! A vos votes !

Jour 1 : Qu'est-ce que DORA?

  • Réponse 1 : Une jeune exploratrice bilingue
  • Réponse 2 : Un protocole de communication décrit dans le RFC 9364
  • Réponse 3 : Une organisation internationale de régulation de la cybersécurité
  • Réponse 4 : Un règlement qui s’applique aux entités financières et aux tiers prestataires de services informatiques

Pour y répondre, rendez-vous sur notre page Linkedin ! A vos votes !