{"id":1102047,"date":"2024-01-15T12:28:31","date_gmt":"2024-01-15T14:28:31","guid":{"rendered":"https:\/\/teknomers.com\/fr\/3-nouveaux-venus-du-groupe-ransomware-a-surveiller-en-2024\/"},"modified":"2024-01-15T12:28:36","modified_gmt":"2024-01-15T14:28:36","slug":"3-nouveaux-venus-du-groupe-ransomware-a-surveiller-en-2024","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/3-nouveaux-venus-du-groupe-ransomware-a-surveiller-en-2024\/","title":{"rendered":"3 nouveaux venus du groupe Ransomware \u00e0 surveiller en 2024"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/3-nouveaux-venus-du-groupe-Ransomware-a-surveiller-en-2024.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>L\u2019industrie des ransomwares a explos\u00e9 en 2023, avec une augmentation alarmante de 55,5 % du nombre de victimes dans le monde, atteignant le chiffre stup\u00e9fiant de 4\u00a0368 cas. <\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/3-nouveaux-venus-du-groupe-Ransomware-a-surveiller-en-2024.png\" style=\"clear: left; display: block; margin-left: auto; margin-right: auto; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/3-nouveaux-venus-du-groupe-Ransomware-a-surveiller-en-2024.png\" alt=\"Rapport sur les ransomwares\" border=\"0\" data-original-height=\"826\" data-original-width=\"1600\" title=\"Rapport sur les ransomwares\"\/><\/a><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Figure 1\u00a0: Victimes d\u2019une ann\u00e9e sur l\u2019autre par trimestre<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Les montagnes russes depuis une croissance explosive en 2021 jusqu\u2019\u00e0 une baisse momentan\u00e9e en 2022 n\u2019\u00e9taient qu\u2019un avant-go\u00fbt : 2023 est revenue avec la m\u00eame ferveur que 2021, propulsant les groupes existants et ouvrant la voie \u00e0 une vague de nouveaux arrivants formidables.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1705328910_460_3-nouveaux-venus-du-groupe-Ransomware-a-surveiller-en-2024.png\" style=\"clear: left; display: block; margin-left: auto; margin-right: auto; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1705328910_460_3-nouveaux-venus-du-groupe-Ransomware-a-surveiller-en-2024.png\" alt=\"Rapport sur les ransomwares\" border=\"0\" data-original-height=\"826\" data-original-width=\"1600\" title=\"Rapport sur les ransomwares\"\/><\/a><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Figure 2\u00a0: Nombre de victimes de ransomwares entre 2020 et 2023<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>LockBit 3.0 a conserv\u00e9 sa premi\u00e8re place avec 1 047 victimes gr\u00e2ce au <a rel=\"nofollow noopener\" href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/boeing-confirms-cyberattack-amid-lockbit-ransomware-claims\/#google_vignette\" target=\"_blank\">Boeing<\/a> attaque, la Royal Mail Attack, et plus encore. <a rel=\"nofollow noopener\" href=\"https:\/\/cyberint.com\/blog\/research\/alphv-site-taken-down-by-the-fbi\/\" target=\"_blank\">Alphav<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/cyberint.com\/blog\/techtalks\/cl0p-ransomware\/\" target=\"_blank\">Cl0p<\/a> ont obtenu beaucoup moins de succ\u00e8s, avec respectivement 445 et 384 victimes attribu\u00e9es en 2023. <\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1705328910_580_3-nouveaux-venus-du-groupe-Ransomware-a-surveiller-en-2024.png\" style=\"clear: left; display: block; margin-left: auto; margin-right: auto; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1705328910_580_3-nouveaux-venus-du-groupe-Ransomware-a-surveiller-en-2024.png\" alt=\"Rapport sur les ransomwares\" border=\"0\" data-original-height=\"219\" data-original-width=\"847\" title=\"Rapport sur les ransomwares\"\/><\/a><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Figure 3\u00a0:\u00a0Les 3 principaux groupes de ransomwares actifs en 2023<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Ces 3 groupes ont largement contribu\u00e9 \u00e0 l\u2019essor des attaques de ransomwares en 2023, mais ils n\u2019en sont pas les seuls responsables.  De nombreuses attaques provenaient de gangs de ransomwares \u00e9mergents tels que <a rel=\"nofollow noopener\" href=\"https:\/\/cyberint.com\/blog\/research\/all-about-that-8base-ransomware-group-the-details\/\" target=\"_blank\">8Base<\/a>Rhysida, 3h du matin, Malaslocker, <a rel=\"nofollow noopener\" href=\"https:\/\/cyberint.com\/blog\/research\/bianlian-ransomware-victimology-and-ttps\/\" target=\"_blank\">BianLian<\/a>Jouer, <a rel=\"nofollow noopener\" href=\"https:\/\/cyberint.com\/blog\/research\/akira-ransomware-what-soc-teams-need-to-know\/\" target=\"_blank\">Akira<\/a>et d&#8217;autres.<\/p>\n<h2>Nouveaux arrivants dans l\u2019industrie des ransomwares<\/h2>\n<p>Chez Cyberint, l&#8217;\u00e9quipe de recherche est <a rel=\"nofollow noopener\" href=\"https:\/\/cyberint.com\/blog\/thought-leadership\/finding-and-analyzing-ransomware-groups\/\" target=\"_blank\">recherche constante des derniers groupes de ransomwares<\/a> et les analyser pour d\u00e9terminer leur impact potentiel.  Ce blog se penchera sur 3 nouveaux acteurs du secteur, examinera leur impact en 2023 et approfondira leurs TTP. <\/p>\n<h3 style=\"text-align: left;\"><a rel=\"nofollow noopener\" href=\"https:\/\/l.cyberint.com\/ransomware-recap-2023\" target=\"_blank\">Pour en savoir plus sur les autres nouveaux acteurs, t\u00e9l\u00e9chargez le rapport 2023 sur les ransomwares ici.<\/a><\/h3>\n<h3>Ran\u00e7ongiciel \u00e0 3 heures du matin<\/h3>\n<p>Une souche de ransomware r\u00e9cemment d\u00e9couverte nomm\u00e9e 3AM est apparue, mais son utilisation a \u00e9t\u00e9 limit\u00e9e jusqu&#8217;\u00e0 pr\u00e9sent.  En 2023, ils n\u2019ont r\u00e9ussi \u00e0 toucher qu\u2019une vingtaine d\u2019organisations (principalement aux \u00c9tats-Unis).  Cependant, ils gagnent en notori\u00e9t\u00e9 gr\u00e2ce \u00e0 un affili\u00e9 de ransomware qui a tent\u00e9 de d\u00e9ployer LockBit sur le r\u00e9seau d&#8217;une cible en passant \u00e0 3 heures du matin lorsque LockBit \u00e9tait bloqu\u00e9.<\/p>\n<p>De nouvelles familles de ransomwares apparaissent fr\u00e9quemment, et la plupart disparaissent tout aussi rapidement ou ne parviennent jamais \u00e0 gagner du terrain de mani\u00e8re significative.  Cependant, le fait que 3AM ait \u00e9t\u00e9 utilis\u00e9 comme solution de repli par un affili\u00e9 de LockBit sugg\u00e8re que cela pourrait int\u00e9resser les attaquants et pourrait \u00eatre revu \u00e0 l&#8217;avenir.<\/p>\n<p>Il est int\u00e9ressant de noter que 3AM est cod\u00e9 dans Rust et semble \u00eatre une toute nouvelle famille de logiciels malveillants.  Il suit une s\u00e9quence sp\u00e9cifique\u00a0: il tente d&#8217;arr\u00eater plusieurs services sur l&#8217;ordinateur compromis avant de lancer le processus de cryptage des fichiers.  Une fois le cryptage termin\u00e9, il tente d&#8217;effacer les copies Volume Shadow (VSS).  Les liens potentiels entre ses auteurs et des organisations de cybercriminalit\u00e9 connues restent flous.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1705328911_822_3-nouveaux-venus-du-groupe-Ransomware-a-surveiller-en-2024.png\" style=\"clear: left; display: block; margin-left: auto; margin-right: auto; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1705328911_822_3-nouveaux-venus-du-groupe-Ransomware-a-surveiller-en-2024.png\" alt=\"Rapport sur les ransomwares\" border=\"0\" data-original-height=\"685\" data-original-width=\"1304\" title=\"Rapport sur les ransomwares\"\/><\/a><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Figure 4\u00a0:\u00a0Fuite de donn\u00e9es \u00e0 3 heures du matin<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Les activit\u00e9s suspectes de l&#8217;acteur malveillant ont commenc\u00e9 avec l&#8217;utilisation de la commande gpresult pour extraire les param\u00e8tres de strat\u00e9gie appliqu\u00e9s sur l&#8217;ordinateur pour un utilisateur sp\u00e9cifique.  Par la suite, ils ont ex\u00e9cut\u00e9 divers composants de Cobalt Strike et ont fait des efforts pour \u00e9lever les privil\u00e8ges sur l&#8217;ordinateur \u00e0 l&#8217;aide de PsExec.<\/p>\n<p>Suite \u00e0 cela, les attaquants ont effectu\u00e9 une reconnaissance via des commandes telles que whoami, netstat, quser et net share.  Ils ont \u00e9galement tent\u00e9 d&#8217;identifier d&#8217;autres serveurs pour un mouvement lat\u00e9ral \u00e0 l&#8217;aide des commandes quser et net view.  De plus, ils ont cr\u00e9\u00e9 un nouveau compte utilisateur pour maintenir la persistance et ont utilis\u00e9 l&#8217;outil Wput pour transf\u00e9rer les fichiers des victimes vers leur serveur FTP.<\/p>\n<p>L&#8217;utilisation du script Yugeon Web Clicks de 2004 peut para\u00eetre d\u00e9routante \u00e0 premi\u00e8re vue.  Cela soul\u00e8ve la question de savoir pourquoi un groupe \u00e9mergent de ransomwares opterait pour une technologie aussi obsol\u00e8te.  Cependant, plusieurs raisons peuvent expliquer ce choix, notamment\u00a0:<\/p>\n<ol>\n<li><strong>Obscurit\u00e9: <\/strong>Les scripts et technologies plus anciens peuvent ne pas \u00eatre aussi commun\u00e9ment reconnus par les outils de s\u00e9curit\u00e9 modernes, ce qui r\u00e9duit la probabilit\u00e9 de d\u00e9tection.<\/li>\n<li><strong>Simplicit\u00e9:<\/strong> Les scripts plus anciens peuvent fournir des fonctionnalit\u00e9s simples sans les complexit\u00e9s souvent associ\u00e9es \u00e0 leurs homologues modernes, facilitant ainsi le d\u00e9ploiement et la gestion.<\/li>\n<li><strong>Exc\u00e8s de confiance\u00a0:<\/strong> Le groupe peut avoir une grande confiance en ses capacit\u00e9s et ne pas voir la n\u00e9cessit\u00e9 d&#8217;investir dans une technologie plus avanc\u00e9e, en particulier pour son site Web.<\/li>\n<\/ol>\n<p>Il est essentiel de noter que ce choix expose le groupe \u00e0 certains risques.  L\u2019utilisation d\u2019une technologie obsol\u00e8te pr\u00e9sentant des vuln\u00e9rabilit\u00e9s connues peut rendre leurs op\u00e9rations vuln\u00e9rables aux attaques externes, aux contre-mesures ou au sabotage potentiel d\u2019autres acteurs malveillants.<\/p>\n<p>Le choix du groupe de ransomware 3AM d&#8217;utiliser un script PHP obsol\u00e8te t\u00e9moigne de la nature impr\u00e9visible des cybercriminels.  Malgr\u00e9 leur utilisation de souches avanc\u00e9es de ransomwares pour cibler les organisations, leur choix de technologies back-end peut \u00eatre influenc\u00e9 par une combinaison de consid\u00e9rations strat\u00e9giques, de commodit\u00e9 et d\u2019exc\u00e8s de confiance.  Cela souligne l\u2019importance pour les organisations de rester vigilantes et d\u2019adopter une approche de s\u00e9curit\u00e9 globale, en reconnaissant que les menaces peuvent provenir de technologies de pointe ou obsol\u00e8tes.<\/p>\n<h4 style=\"text-align: left;\">TTP connus<\/h4>\n<table>\n<tbody>\n<tr style=\"background-color: #f0f0f0;\">\n<td colspan=\"1\" rowspan=\"1\">  Outils <\/td>\n<td colspan=\"1\" rowspan=\"1\">  Tactique <\/td>\n<\/tr>\n<tr>\n<td colspan=\"1\" rowspan=\"1\">  D\u00e9veloppement des ressources <\/td>\n<td colspan=\"1\" rowspan=\"1\">  T1650 &#8211; Acqu\u00e9rir l&#8217;acc\u00e8s <\/td>\n<\/tr>\n<tr>\n<td colspan=\"1\" rowspan=\"1\">  Collection <\/td>\n<td colspan=\"1\" rowspan=\"1\">  T1560 &#8211; Archiver les donn\u00e9es collect\u00e9es <\/td>\n<\/tr>\n<tr>\n<td colspan=\"1\" rowspan=\"1\">  Impact <\/td>\n<td colspan=\"1\" rowspan=\"1\">  T1565.001 &#8211; Manipulation de donn\u00e9es stock\u00e9es <\/td>\n<\/tr>\n<tr>\n<td colspan=\"1\" rowspan=\"1\">  Collection <\/td>\n<td colspan=\"1\" rowspan=\"1\">  T1532 &#8211; Archiver les donn\u00e9es collect\u00e9es <\/td>\n<\/tr>\n<tr>\n<td colspan=\"1\" rowspan=\"1\">  Collection <\/td>\n<td colspan=\"1\" rowspan=\"1\">  T1005 &#8211; Donn\u00e9es du syst\u00e8me local <\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h3>Rhysida Ransomware<\/h3>\n<p>Le groupe de ransomware Rhysida s&#8217;est fait conna\u00eetre en mai\/juin 2023 lorsqu&#8217;il a lanc\u00e9 un portail de discussion d&#8217;assistance aux victimes accessible via son site TOR (.onion).  Ils se pr\u00e9sentent comme une \u00ab \u00e9quipe de cybers\u00e9curit\u00e9 \u00bb agissant dans le meilleur int\u00e9r\u00eat de leurs victimes, ciblant leurs syst\u00e8mes et mettant en \u00e9vidence les vuln\u00e9rabilit\u00e9s.<\/p>\n<p>En juin, Rhysida a attir\u00e9 l&#8217;attention apr\u00e8s avoir divulgu\u00e9 publiquement des documents vol\u00e9s \u00e0 la Chilean Arm sur son site de fuite de donn\u00e9es.  Le groupe a depuis gagn\u00e9 en notori\u00e9t\u00e9 gr\u00e2ce \u00e0 ses attaques contre des \u00e9tablissements de sant\u00e9, notamment Prospect Medical Holdings., ce qui a amen\u00e9 les agences gouvernementales et les soci\u00e9t\u00e9s de cybers\u00e9curit\u00e9 \u00e0 les suivre de pr\u00e8s.  Ils ont cibl\u00e9 plusieurs entit\u00e9s de premier plan, notamment la British Library, o\u00f9 ils ont provoqu\u00e9 une panne technologique majeure et vendu des informations personnelles vol\u00e9es en ligne, et Insomniac Games, un d\u00e9veloppeur de jeux vid\u00e9o appartenant \u00e0 Sony.  Ils ont d\u00e9montr\u00e9 une large port\u00e9e dans divers secteurs.<\/p>\n<h4 style=\"text-align: left;\">TTP connus<\/h4>\n<table>\n<tbody>\n<tr>\n<td style=\"background-color: #f0f0f0;\"><strong>Outils<\/strong><\/td>\n<td style=\"background-color: #f0f0f0;\"><strong>Tactique<\/strong><\/td>\n<\/tr>\n<tr>\n<td><strong>Augmentation des privil\u00e8ges<\/strong><\/td>\n<td>T1055.003 \u2013 D\u00e9tournement d\u2019ex\u00e9cution de threads<\/td>\n<\/tr>\n<tr>\n<td><strong>Augmentation des privil\u00e8ges<\/strong><\/td>\n<td>T1547.001 &#8211; Cl\u00e9s d&#8217;ex\u00e9cution du registre\/dossier de d\u00e9marrage<\/td>\n<\/tr>\n<tr>\n<td><strong>Augmentation des privil\u00e8ges<\/strong><\/td>\n<td>T1055 &#8211; Injection de proc\u00e9d\u00e9<\/td>\n<\/tr>\n<tr>\n<td><strong>Augmentation des privil\u00e8ges<\/strong><\/td>\n<td>T1548.002 &#8211; Contourner le contr\u00f4le des comptes d&#8217;utilisateurs<\/td>\n<\/tr>\n<tr>\n<td><strong>\u00c9vasion de la d\u00e9fense<\/strong><\/td>\n<td>T1036 &#8211; Mascarade<\/td>\n<\/tr>\n<tr>\n<td><strong>\u00c9vasion de la d\u00e9fense<\/strong><\/td>\n<td>T1027.005 &#8211; Retrait des indicateurs des outils<\/td>\n<\/tr>\n<tr>\n<td><strong>\u00c9vasion de la d\u00e9fense<\/strong><\/td>\n<td>T1027 &#8211; Fichiers ou informations obscurcis<\/td>\n<\/tr>\n<tr>\n<td><strong>\u00c9vasion de la d\u00e9fense<\/strong><\/td>\n<td>T1620 &#8211; Chargement de code r\u00e9fl\u00e9chissant<\/td>\n<\/tr>\n<tr>\n<td><strong>\u00c9vasion de la d\u00e9fense<\/strong><\/td>\n<td>T1564.004 &#8211; Attributs du fichier NTFS<\/td>\n<\/tr>\n<tr>\n<td><strong>\u00c9vasion de la d\u00e9fense<\/strong><\/td>\n<td>T1497-Virtualisation\/\u00c9vasion du bac \u00e0 sable<\/td>\n<\/tr>\n<tr>\n<td><strong>\u00c9vasion de la d\u00e9fense<\/strong><\/td>\n<td>T1564 \u2013 Masquer les artefacts<\/td>\n<\/tr>\n<tr>\n<td><strong>D\u00e9couverte<\/strong><\/td>\n<td>T1083 &#8211; D\u00e9couverte de fichiers et de r\u00e9pertoires<\/td>\n<\/tr>\n<tr>\n<td><strong>D\u00e9couverte<\/strong><\/td>\n<td>T1010 &#8211; D\u00e9couverte de la fen\u00eatre d&#8217;application<\/td>\n<\/tr>\n<tr>\n<td><strong>D\u00e9couverte<\/strong><\/td>\n<td>T1082 &#8211; D\u00e9couverte des informations syst\u00e8me<\/td>\n<\/tr>\n<tr>\n<td><strong>D\u00e9couverte<\/strong><\/td>\n<td>T1057 &#8211; D\u00e9couverte de processus<\/td>\n<\/tr>\n<tr>\n<td><strong>D\u00e9couverte<\/strong><\/td>\n<td>T1518.001 &#8211; D\u00e9couverte de logiciels de s\u00e9curit\u00e9<\/td>\n<\/tr>\n<tr>\n<td><strong>Acc\u00e8s initial<\/strong><\/td>\n<td>T1566-Phishing<\/td>\n<\/tr>\n<tr>\n<td><strong>Collection<\/strong><\/td>\n<td>T1005 &#8211; Donn\u00e9es du syst\u00e8me local<\/td>\n<\/tr>\n<tr>\n<td><strong>Collection<\/strong><\/td>\n<td>T1119 &#8211; Collecte automatis\u00e9e<\/td>\n<\/tr>\n<tr>\n<td><strong>D\u00e9veloppement des ressources<\/strong><\/td>\n<td>T1587 &#8211; D\u00e9velopper les capacit\u00e9s<\/td>\n<\/tr>\n<tr>\n<td><strong>D\u00e9veloppement des ressources<\/strong><\/td>\n<td>T1583-Acqu\u00e9rir une infrastructure<\/td>\n<\/tr>\n<tr>\n<td><strong>Ex\u00e9cution<\/strong><\/td>\n<td>T1129 &#8211; Modules partag\u00e9s<\/td>\n<\/tr>\n<tr>\n<td><strong>Ex\u00e9cution<\/strong><\/td>\n<td>T1059 &#8211; Interpr\u00e9teur de commandes et de scripts<\/td>\n<\/tr>\n<tr>\n<td><strong>Reconnaissance<\/strong><\/td>\n<td>T1595- Balayage actif<\/td>\n<\/tr>\n<tr>\n<td><strong>Reconnaissance<\/strong><\/td>\n<td>T1598-Phishing pour information<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h3>Le groupe Akira<\/h3>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/cyberint.com\/blog\/research\/akira-ransomware-what-soc-teams-need-to-know\/\" target=\"_blank\">Le groupe Akira<\/a>, a \u00e9t\u00e9 d\u00e9couvert en mars 2023 et a fait \u00e0 ce jour 81 victimes.  Des recherches pr\u00e9liminaires sugg\u00e8rent un lien \u00e9troit entre le groupe et le c\u00e9l\u00e8bre groupe de ransomwares Conti.  La fuite du code source de Conti a conduit de nombreux acteurs malveillants \u00e0 utiliser le code de Conti pour construire ou adapter le leur, ce qui rend difficile la d\u00e9termination des groupes ayant des liens avec Conti et lesquels utilisent simplement le code divulgu\u00e9. <\/p>\n<p>Cependant, Akira fournit certains indices r\u00e9v\u00e9lateurs sugg\u00e9rant un lien avec Conti, allant de similitudes dans leur approche au m\u00e9pris des m\u00eames types de fichiers et r\u00e9pertoires, en passant par l&#8217;incorporation de fonctions comparables.  De plus, Akira utilise l&#8217;algorithme ChaCha pour le cryptage des fichiers, mis en \u0153uvre d&#8217;une mani\u00e8re similaire au ransomware Conti.  Enfin, les individus \u00e0 l&#8217;origine du ransomware Akira ont dirig\u00e9 le paiement complet de la ran\u00e7on vers des adresses associ\u00e9es au groupe Conti.<\/p>\n<p>Akira propose un ransomware-as-a-service, affectant \u00e0 la fois les syst\u00e8mes Windows et Linux.  Ils utilisent leur DLS (site de fuite de donn\u00e9es) officiel pour publier des informations sur leurs victimes et des mises \u00e0 jour concernant leurs activit\u00e9s.  Les acteurs de la menace se concentrent principalement sur les \u00c9tats-Unis, bien qu\u2019ils ciblent \u00e9galement le Royaume-Uni, l\u2019Australie et d\u2019autres pays.<\/p>\n<p>Ils exfiltrent et chiffrent les donn\u00e9es pour contraindre les victimes \u00e0 payer une double ran\u00e7on, \u00e0 la fois pour retrouver l&#8217;acc\u00e8s et pour restaurer leurs fichiers.  Dans presque tous les cas d&#8217;intrusion, Akira a capitalis\u00e9 sur des informations d&#8217;identification compromises pour prendre pied dans l&#8217;environnement de la victime.  Il est int\u00e9ressant de noter que la plupart des organisations cibl\u00e9es avaient n\u00e9glig\u00e9 de mettre en \u0153uvre l\u2019authentification multifacteur (MFA) pour leurs VPN.  Bien que l\u2019origine exacte de ces informations d\u2019identification compromises reste incertaine, il est possible que les auteurs de la menace aient obtenu un acc\u00e8s ou des informations d\u2019identification \u00e0 partir du dark web.<\/p>\n<h4 style=\"text-align: left;\">TTP connus<\/h4>\n<table>\n<tbody>\n<tr style=\"background-color: #f0f0f0;\">\n<td colspan=\"1\" rowspan=\"1\">Outils<\/td>\n<td colspan=\"1\" rowspan=\"1\">Tactique<\/td>\n<\/tr>\n<tr>\n<td colspan=\"1\" rowspan=\"1\">Exfiltration<\/td>\n<td colspan=\"1\" rowspan=\"1\">T1567 &#8211; Exfiltration via service Web<\/td>\n<\/tr>\n<tr>\n<td colspan=\"1\" rowspan=\"1\">Acc\u00e8s initial<\/td>\n<td colspan=\"1\" rowspan=\"1\">T1566.001 &#8211; Pi\u00e8ce jointe pour le spearphishing<\/td>\n<\/tr>\n<tr>\n<td colspan=\"1\" rowspan=\"1\">Exfiltration<\/td>\n<td colspan=\"1\" rowspan=\"1\">T1041 &#8211; Exfiltration sur canal C2<\/td>\n<\/tr>\n<tr>\n<td colspan=\"1\" rowspan=\"1\">Exfiltration<\/td>\n<td colspan=\"1\" rowspan=\"1\">T1537 &#8211; Transf\u00e9rer des donn\u00e9es vers un compte cloud<\/td>\n<\/tr>\n<tr>\n<td colspan=\"1\" rowspan=\"1\">Collection<\/td>\n<td colspan=\"1\" rowspan=\"1\">T1114.001 &#8211; Collecte de courriels locaux<\/td>\n<\/tr>\n<tr>\n<td colspan=\"1\" rowspan=\"1\">Impact<\/td>\n<td colspan=\"1\" rowspan=\"1\">T1486 &#8211; Donn\u00e9es chiffr\u00e9es pour impact<\/td>\n<\/tr>\n<tr>\n<td colspan=\"1\" rowspan=\"1\">Acc\u00e8s initial<\/td>\n<td colspan=\"1\" rowspan=\"1\">T1566.002 &#8211; Lien de spearphishing<\/td>\n<\/tr>\n<tr>\n<td colspan=\"1\" rowspan=\"1\">Ex\u00e9cution<\/td>\n<td colspan=\"1\" rowspan=\"1\">T1059.001-PowerShell<\/td>\n<\/tr>\n<tr>\n<td colspan=\"1\" rowspan=\"1\">Ex\u00e9cution<\/td>\n<td colspan=\"1\" rowspan=\"1\">T1569.002 &#8211; Ex\u00e9cution des services<\/td>\n<\/tr>\n<tr>\n<td colspan=\"1\" rowspan=\"1\">D\u00e9couverte<\/td>\n<td colspan=\"1\" rowspan=\"1\">T1016.001 &#8211; D\u00e9couverte de connexion Internet<\/td>\n<\/tr>\n<tr>\n<td colspan=\"1\" rowspan=\"1\">Acc\u00e8s initial<\/td>\n<td colspan=\"1\" rowspan=\"1\">T1078 &#8211; Comptes valides<\/td>\n<\/tr>\n<tr>\n<td colspan=\"1\" rowspan=\"1\">Augmentation des privil\u00e8ges<\/td>\n<td colspan=\"1\" rowspan=\"1\">T1078 &#8211; Comptes valides<\/td>\n<\/tr>\n<tr>\n<td colspan=\"1\" rowspan=\"1\">\u00c9vasion de la d\u00e9fense<\/td>\n<td colspan=\"1\" rowspan=\"1\">T1078 &#8211; Comptes valides<\/td>\n<\/tr>\n<tr>\n<td colspan=\"1\" rowspan=\"1\">Persistance<\/td>\n<td colspan=\"1\" rowspan=\"1\">T1078 &#8211; Comptes valides<\/td>\n<\/tr>\n<tr>\n<td colspan=\"1\" rowspan=\"1\">Augmentation des privil\u00e8ges<\/td>\n<td colspan=\"1\" rowspan=\"1\">T1547.009 &#8211; Modification du raccourci<\/td>\n<\/tr>\n<tr>\n<td colspan=\"1\" rowspan=\"1\">Persistance<\/td>\n<td colspan=\"1\" rowspan=\"1\">T1547.009 &#8211; Modification du raccourci<\/td>\n<\/tr>\n<tr>\n<td colspan=\"1\" rowspan=\"1\">Acc\u00e8s initial<\/td>\n<td colspan=\"1\" rowspan=\"1\">T1190 \u2013 Exploiter une application publique<\/td>\n<\/tr>\n<tr>\n<td colspan=\"1\" rowspan=\"1\">\u00c9vasion de la d\u00e9fense<\/td>\n<td colspan=\"1\" rowspan=\"1\">T1027.001 &#8211; Remplissage binaire<\/td>\n<\/tr>\n<tr>\n<td colspan=\"1\" rowspan=\"1\">Exfiltration<\/td>\n<td colspan=\"1\" rowspan=\"1\">T1029 &#8211; Virement programm\u00e9<\/td>\n<\/tr>\n<tr>\n<td colspan=\"1\" rowspan=\"1\">Ex\u00e9cution<\/td>\n<td colspan=\"1\" rowspan=\"1\">T1059.003 &#8211; Shell de commande Windows<\/td>\n<\/tr>\n<tr>\n<td colspan=\"1\" rowspan=\"1\">Acc\u00e8s initial<\/td>\n<td colspan=\"1\" rowspan=\"1\">T1195 &#8211; Compromission de la cha\u00eene d&#8217;approvisionnement<\/td>\n<\/tr>\n<tr>\n<td colspan=\"1\" rowspan=\"1\">\u00c9vasion de la d\u00e9fense<\/td>\n<td colspan=\"1\" rowspan=\"1\">T1036.005 &#8211; Correspondance avec un nom ou un lieu l\u00e9gitime<\/td>\n<\/tr>\n<tr>\n<td colspan=\"1\" rowspan=\"1\">Augmentation des privil\u00e8ges<\/td>\n<td colspan=\"1\" rowspan=\"1\">T1547.001 &#8211; Cl\u00e9s d&#8217;ex\u00e9cution du registre\/dossier de d\u00e9marrage<\/td>\n<\/tr>\n<tr>\n<td colspan=\"1\" rowspan=\"1\">Persistance<\/td>\n<td colspan=\"1\" rowspan=\"1\">T1547.001 &#8211; Cl\u00e9s d&#8217;ex\u00e9cution du registre\/dossier de d\u00e9marrage<\/td>\n<\/tr>\n<tr>\n<td colspan=\"1\" rowspan=\"1\">Exfiltration<\/td>\n<td colspan=\"1\" rowspan=\"1\">T1020 &#8211; Exfiltration automatis\u00e9e<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>L\u2019industrie des ransomwares est en plein essor et attire de nouveaux groupes audacieux qui cherchent \u00e0 se faire un nom en d\u00e9veloppant des services et des outils de ransomware de haute qualit\u00e9.  En 2024, Cyberint pr\u00e9voit que plusieurs de ces nouveaux groupes am\u00e9lioreront leurs capacit\u00e9s et deviendront des acteurs dominants du secteur aux c\u00f4t\u00e9s de groupes v\u00e9t\u00e9rans comme LockBit 3.0, Cl0p et AlphV.<\/p>\n<p>Lisez le rapport 2023 sur les ransomwares de Cyberint pour conna\u00eetre les secteurs et les pays les plus cibl\u00e9s, une r\u00e9partition des 3 principaux groupes de ransomwares, les familles de ransomwares \u00e0 noter, les nouveaux arrivants dans le secteur, les campagnes notables pour 2023 et les pr\u00e9visions pour 2024.<\/p>\n<h3 style=\"text-align: left;\"><a rel=\"nofollow noopener\" href=\"https:\/\/l.cyberint.com\/ransomware-recap-2023\" target=\"_blank\"><b>Lisez le rapport pour obtenir des informations d\u00e9taill\u00e9es et bien plus encore.<\/b><\/a><\/h3>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/01\/3-ransomware-group-newcomers-to-watch.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>L\u2019industrie des ransomwares a explos\u00e9 en 2023, avec une augmentation alarmante de 55,5 % du nombre de victimes dans le monde, atteignant le chiffre stup\u00e9fiant de 4\u00a0368 cas. Figure 1\u00a0: Victimes d\u2019une ann\u00e9e sur l\u2019autre par trimestre Les montagnes russes depuis une croissance explosive en 2021 jusqu\u2019\u00e0 une baisse momentan\u00e9e en 2022 n\u2019\u00e9taient qu\u2019un avant-go\u00fbt [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1102048,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,4168,4165,4161,200267,681,4159,4171,200271,200268,4588,200269,200270,4392,128318,4172,4169,2279,6667,4166,4164],"class_list":["post-1102047","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-groupe","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-nouveaux","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-ransomware","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-surveiller","tag-venus","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1102047","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1102047"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1102047\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1102048"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1102047"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1102047"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1102047"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}