Mouvement Latéral

🔍 Contexte Publié le 28 mai 2026 par Microsoft Threat Intelligence sur le blog officiel Microsoft Security, cet article présente une analyse technique approfondie du ransomware The Gentlemen, opéré par le groupe Storm-2697. 🎭 Acteur de la menace Storm-2697 est un acteur à motivation financière qui gère la plateforme RaaS (Ransomware-as-a-Service) « The Gentlemen » Le groupe a émergé mi-2025 en tant que groupe fermé, avant d’ouvrir son programme d’affiliation en septembre 2025 Un partenariat officiel avec BreachForums a été établi pour recruter des affiliés, notamment des testeurs d’intrusion et des initial access brokers (IAB) ⚙️ Caractéristiques techniques Ransomware écrit en Go, obfusqué avec Garble Cible l’environnement Windows Techniques documentées : exécution, évasion de défense, chiffrement des fichiers, mouvement latéral et auto-propagation réseau Tactique de double extorsion : chiffrement des données ET exfiltration pour pression supplémentaire 🌍 Secteurs et zones géographiques ciblés Secteurs : éducation, transport, santé, finance Zones : Amérique du Nord, Amérique du Sud, Europe, Afrique, Asie 📄 Nature de l’article Il s’agit d’une analyse technique publiée par Microsoft, destinée aux défenseurs, aux équipes de réponse à incident et à la communauté de sécurité. L’article inclut le flux d’exécution, les comportements d’évasion, la conception du chiffrement, les techniques de mouvement latéral, des détections Microsoft Defender, des requêtes de chasse et des indicateurs de compromission (IOCs). ...

Selon Darktrace, une campagne multi‑phases cible les appliances FortiGate via trois vulnérabilités critiques SSL‑VPN permettant une exécution de code à distance sans authentification, avec un enchaînement allant de la compromission initiale à l’escalade de privilèges et à l’accès RDP. • Vulnérabilités exploitées et impact: les failles CVE‑2022‑42475 et CVE‑2023‑27997 (dépassement de tampon sur le tas) et CVE‑2024‑21762 (écriture hors limites dans le démon sslvpnd) sont utilisées pour obtenir une RCE sans authentification sur FortiOS SSL‑VPN et accéder de façon non autorisée à des FortiGate. ...

Contexte: Arctic Wolf publie une analyse des tendances actuelles des campagnes de ransomware et d’extorsion, mettant en lumière la généralisation de l’exfiltration de données et des schémas de multi‑extorsion. L’étude souligne que 96% des cas de ransomware incluent désormais l’exfiltration de données. Les acteurs adoptent des modèles de double, triple et quadruple extorsion combinant vol de données, menaces de divulgation publique et harcèlement ciblé. Les secteurs santé, éducation, gouvernement et manufacturier sont signalés comme particulièrement vulnérables. Les approches classiques de sauvegarde/restauration ne suffisent plus lorsque des données volées servent à une extorsion continue. ...

L’article publié sur Darknet.org.uk présente PsMapExec, un outil récent conçu pour les équipes de sécurité offensive, également appelées red teams. Cet outil est basé sur PowerShell et est spécifiquement développé pour faciliter les opérations d’énumération et de mouvement latéral dans les environnements internes. PsMapExec est particulièrement efficace lors d’opérations utilisant WinRM (Windows Remote Management) et SMB (Server Message Block), deux protocoles couramment utilisés dans les infrastructures Windows. L’outil permet aux professionnels de la sécurité de simuler des attaques et d’identifier des vulnérabilités potentielles dans les systèmes informatiques des entreprises. ...