Rien a priori ne laissait supposer que le fournisseur de cloud, Cloudzy, basé à New York depuis 2008, était en réalité une façade pour héberger des activités malveillantes. Un éditeur en sécurité, Halcyon a mené une enquête montrant que Cloudzy proposait à une société iranienne des serveurs de commande et contrôle (C2) dans le cadre de campagne de ransomware (notamment Blackbasta et Royal). Dans ses recherches, Halcyon a identifié plusieurs acteurs ayant eu recours aux services (VPS) de Cloudzy, y compris des groupes APT ayant des liens avec les gouvernements chinois, iranien, nord-coréen et russe entre autres.
Selon Halcyon, l'hébergeur n'exige aucune vérification d'identité réelle de la part de ses clients, mais simplement une adresse électronique fonctionnelle. L'entreprise aurait interdit l’utilisation de ses services pour toute activité illégale. Mais uniquement quand elle concerne des adresses IPv4 enregistrées par Cloudzy elle-même, mais pas si elle se déroule sur une infrastructure louée à d'autres fournisseurs. Dans son enquête, où il a établi un lien entre l'activité illégale et Cloudzy par l'intermédiaire de ces netblocks (blocs d'adresses IP), Halcyon s’est aussi intéressé au personnel de la société dont les photos sont issues de bibliothèques d'image. L’enquête indique que la présence de Cloudzy aux États-Unis est fictive, au moins en partie, et n'existe que sur le papier. En réalité, le groupe emploie majoritairement des personnes d'une entreprise basée à Téhéran, appelée abrNOC.
Un nouveau modèle pour les attaques de ransomware
L’analyse observe « qu'entre 40 et 60 % » de tous les serveurs hébergés par le fournisseur semblent soutenir une éventuelle activité malveillante. Pour Halcyon, cette affaire correspond à une méthode innovante pour les attaques par ransomware. En effet, l’hébergeur fournit le dispositif de commande et contrôle via une source apparemment légitime. Selon Ryan Golden, responsable du marketing chez Halcyon, « beaucoup de fournisseurs ne vont pas prendre le temps de maquiller leurs actions de manière à les rendre légitimes. Ils sont sur des marchés de niche et veulent aller vite ». Mais il distingue « un second type d’acteurs généralement connu sous le nom de Bulletproof Hosting, se cachant sous l’incantation de « défenseurs de la liberté d’expression » et que nous appelons les « C2P » ou Command and Control Provider ».
Selon Ryan Golden, un C2P qui se fait passer comme une entreprise officielle présente plusieurs avantages pour les acteurs malveillants. Tout d'abord, le simple fait d'apparaître comme une entité basée aux États-Unis offre une apparence de confiance à des utilisateurs qui couvrent ainsi les activités malveillantes. « Comme le trafic associé à leur netblock est mélangé à des usages potentiellement légaux, il est plus facile pour les cybercriminels de se cacher au grand jour », a encore déclaré le responsable. Halcyon recommande aux utilisateurs de vérifier que leurs systèmes ne sont pas connectés à des serveurs de bureau à distance liés à Cloudzy, dont le rapport fournit une liste détaillée.