Cloudzy, une société iranienne, aide les pirates informatiques et les cybercriminels des États-nations.

« Bien que Cloudzy soit constituée en société aux États-Unis, il est presque certain qu’elle opère depuis Téhéran, en Iran – en violation possible des sanctions américaines – sous la direction d’une personne répondant au nom de Hassan Nozari », a déclaré Halcyon dans un nouveau rapport publié mardi.

La société de cybersécurité basée au Texas a déclaré que l’entreprise agit comme un fournisseur de commande et de contrôle (C2P), qui fournit aux attaquants des serveurs privés virtuels RDP (Remote Desktop Protocol) et d’autres services anonymes que les affiliés de ransomware et d’autres utilisent pour mener à bien leurs entreprises cybercriminelles.

« Les C2P bénéficient d’un vide juridique qui ne les oblige pas à s’assurer que l’infrastructure qu’ils fournissent n’est pas utilisée pour des opérations illégales », a déclaré Halcyon dans un communiqué transmis à The Hacker News.

Le modèle économique du ransomware en tant que service (RaaS) est très évolutif et englobe les développeurs principaux, les affiliés, qui exécutent les attaques en échange d’une commission, et les courtiers d’accès initiaux, qui exploitent des vulnérabilités connues ou des informations d’identification volées pour s’implanter et vendre cet accès aux affiliés.

L’émergence des fournisseurs C2P met en évidence un nouvel ensemble d’acteurs qui fournissent « sciemment ou involontairement » l’infrastructure nécessaire pour mener à bien les attaques.
Parmi les principaux acteurs susceptibles d’exploiter Cloudzy, on trouve des entités parrainées par l’État en Chine (APT10), en Inde (Sidewinder), en Iran (APT33 et APT34), en Corée du Nord (Kimsuky, Konni et Lazarus Group), au Pakistan (Transparent Tribe), en Russie (APT29 et Turla) et au Vietnam (OceanLotus), ainsi que des entités de cybercriminalité (Evil Corp et FIN12). On trouve également deux filiales de ransomware, Ghost Clown et Space Kook, qui utilisent respectivement les souches de ransomware BlackBasta et Royal, ainsi que l’éditeur israélien de spyware Candiru, qui suscite la controverse.

On soupçonne les acteurs malveillants de miser sur le fait que l’achat de services VPS auprès de Cloudzy ne nécessite qu’une adresse électronique fonctionnelle et un paiement anonyme en crypto-monnaie, ce qui rend le système propice aux abus et soulève la possibilité que les acteurs de la menace utilisent des entreprises peu connues pour alimenter des piratages de grande ampleur.

« Si votre serveur VPS est suspendu en raison d’une mauvaise utilisation ou d’une utilisation abusive telle que les utilisations interdites : Phishing, Spamming, Child Porn, Attacking other people, etc. », peut-on lire dans la documentation d’assistance sur le site web de Cloudzy. « Il y a une amende de 250 à 1000 $ ou AUCUNE possibilité d’annuler la suspension ; cela dépend du type de plainte ».

« Bien que ces entités C2P soient ostensiblement des entreprises légitimes qui peuvent ou non savoir que leurs plateformes sont utilisées de manière abusive pour des campagnes d’attaque, elles constituent néanmoins un pilier essentiel de l’appareil d’attaque plus large utilisé par certains des plus grands pirates de l’Internet.