Les entreprises utilisant des logiciels piratés subissent une campagne de vol d’informations via le malware RedLine, déguisé en outil de contournement de licence.
Depuis janvier 2024, les entreprises russes utilisant des logiciels d’automatisation piratés sont ciblées par une campagne de vol d’informations orchestrée par des cybercriminels. Les attaquants diffusent le malware RedLine, déguisé en outil conçu pour contourner les exigences de licence des logiciels d’entreprise, via des forums locaux fréquentés par des chefs d’entreprise et des comptables. Pour assurer leur succès, les criminels demandent aux victimes de désactiver leur antivirus avant l’installation.
RedLine, un info stealer vendu comme un service sur des forums clandestins, est capable d’exfiltrer des données sensibles, notamment des identifiants, des informations système et des messages. Bien que l’infrastructure principale du malware ait été démantelée en novembre par les forces de l’ordre internationales, il continue d’être utilisé pour cibler les entreprises. Ce phénomène met en lumière les risques accrus pour les entreprises russes, particulièrement vulnérables depuis la suspension des licences logicielles occidentales suite à l’invasion de l’Ukraine par Moscou.
Le malware redline, une menace constante pour les entreprises
RedLine est un logiciel malveillant bien connu dans les cercles cybercriminels. Ce stealerinfo est vendu comme un service sur des forums clandestins, il offre une multitude de fonctionnalités, notamment l’exfiltration d’identifiants, de données sensibles depuis les navigateurs, ainsi que des informations détaillées sur les systèmes infectés. Il permet aussi de produire des captures écran de la machine infiltrée. Ce malware a été largement utilisé dans des campagnes ciblant principalement des utilisateurs individuels, mais sa récente utilisation contre des entreprises marque un changement inquiétant. Le Service Veille ZATAZ a déjà pu analyser pas moins de 100 millions de liens (url:mot de passe:mail) volés par des utilisateurs de RedLine.
Depuis janvier 2024, des entreprises russes utilisant des logiciels d’automatisation piratés sont ciblées par une campagne diffusant RedLine. Les cybercriminels exploitent des forums en ligne russophones pour promouvoir des outils prétendument capables de contourner les restrictions de licence. Ces outils malveillants, présentés comme des solutions aux restrictions imposées par les sanctions internationales, infectent les appareils des victimes après qu’elles ont désactivé leurs antivirus.
« RedLine peut exfiltrer des identifiants, des messages et des données système, causant des dégâts considérables aux entreprises ciblées. »
Cette campagne met en lumière une tactique classique : l’utilisation de logiciels piratés comme vecteurs d’infection. Cependant, le ciblage des entreprises, plutôt que des particuliers, indique une évolution stratégique des cybercriminels.
Un contexte favorable aux cyberattaques en russie
Depuis l’invasion de l’Ukraine en 2022, les entreprises russes sont confrontées à un accès limité aux logiciels occidentaux. Des entreprises comme Microsoft ont suspendu leurs services en Russie et révoqué les licences de logiciels déjà en usage. Ces restrictions ont poussé de nombreuses entreprises russes à se tourner vers des solutions piratées pour continuer leurs activités.
Ce contexte a créé un terrain fertile pour les cybercriminels. En proposant des outils piratés, ils exploitent la dépendance des entreprises russes aux logiciels d’automatisation tout en les exposant à des cyberattaques sophistiquées. Cette stratégie montre que les cybercriminels adaptent leurs tactiques aux situations géopolitiques, ciblant des organisations déjà vulnérables en raison des sanctions.
« Les restrictions logicielles occidentales ont poussé de nombreuses entreprises russes vers des solutions piratées, augmentant leur exposition aux cyberattaques. »
RedLine, déguisé en outil de contournement, est devenu une arme puissante pour infiltrer ces entreprises. Les données volées peuvent ensuite être revendues sur des marchés noirs ou utilisées pour des attaques secondaires, amplifiant les dommages pour les entreprises concernées.
Redline, un malware sous surveillance malgré son démantèlement
En novembre 2024, les autorités internationales ont annoncé avoir démantelé l’infrastructure principale de RedLine. Un ressortissant russe, Maxim Rudometov, a été inculpé pour son rôle dans le développement et l’administration du malware. Cependant, cette campagne récente montre que RedLine reste une menace active, ses opérateurs ayant trouvé des moyens alternatifs pour diffuser le logiciel.
Selon les chercheurs de Kaspersky, les attaquants cherchent principalement à obtenir un accès aux systèmes des entreprises russophones, sans qu’il soit clair si leurs motivations sont financières ou politiques. Cela souligne la résilience des cybercriminels, qui adaptent rapidement leurs stratégies face aux mesures de répression.
Cette campagne reflète également une tendance inquiétante : les cybercriminels ciblent de plus en plus les entreprises au lieu des utilisateurs individuels, exploitant leur dépendance à des outils technologiques essentiels. Pour les entreprises, cela signifie qu’il est impératif de renforcer leurs défenses, même dans des environnements où les logiciels légitimes sont limités.
Cette campagne de diffusion du malware RedLine montre à quel point les entreprises peuvent devenir vulnérables lorsqu’elles utilisent des logiciels piratés. Les cybercriminels exploitent les faiblesses structurelles et les pressions géopolitiques pour maximiser leurs profits, exposant les organisations à des risques considérables.
Pour ne rien manquer des actualités sur les cybermenaces, abonnez-vous dès maintenant à la newsletter de ZATAZ. Rejoignez également notre groupe WhatsApp pour accéder à des informations exclusives, des alertes en temps réel et des conseils pratiques pour protéger vos données. Ensemble, restons vigilants face à la cybercriminalité.