{"id":1123879,"date":"2024-01-29T19:41:28","date_gmt":"2024-01-29T21:41:28","guid":{"rendered":"https:\/\/teknomers.com\/fr\/albabat-kasseika-kuiper-de-nouveaux-gangs-de-ransomwares-se-multiplient-avec-rust-et-golang\/"},"modified":"2024-01-29T19:41:32","modified_gmt":"2024-01-29T21:41:32","slug":"albabat-kasseika-kuiper-de-nouveaux-gangs-de-ransomwares-se-multiplient-avec-rust-et-golang","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/albabat-kasseika-kuiper-de-nouveaux-gangs-de-ransomwares-se-multiplient-avec-rust-et-golang\/","title":{"rendered":"Albabat, Kasseika, Kuiper\u00a0: de nouveaux gangs de ransomwares se multiplient avec Rust et Golang"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">29 janvier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Ran\u00e7ongiciels\/logiciels malveillants<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Albabat-Kasseika-Kuiper-de-nouveaux-gangs-de-ransomwares-se-multiplient.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9tect\u00e9 dans la nature une autre variante de la famille des ransomwares Phobos connue sous le nom de <strong>Faust<\/strong>.<\/p>\n<p>Fortinet FortiGuard Labs, qui a d\u00e9taill\u00e9 la derni\u00e8re it\u00e9ration du ransomware, a d\u00e9clar\u00e9 qu&#8217;il se propage au moyen d&#8217;une infection qui d\u00e9livre un document Microsoft Excel (.XLAM) contenant un script VBA.<\/p>\n<p>&#8220;Les attaquants ont utilis\u00e9 le service Gitea pour stocker plusieurs fichiers cod\u00e9s en Base64, chacun contenant un binaire malveillant&#8221;, a d\u00e9clar\u00e9 la chercheuse en s\u00e9curit\u00e9 Cara Lin. <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/phobos-ransomware-variant-launches-attack-faust\" target=\"_blank\">dit<\/a> dans un rapport technique publi\u00e9 la semaine derni\u00e8re.  &#8220;Lorsque ces fichiers sont inject\u00e9s dans la m\u00e9moire d&#8217;un syst\u00e8me, ils lancent une attaque de chiffrement de fichiers.&#8221;<\/p>\n<p>Faust est le dernier ajout \u00e0 plusieurs variantes de ransomware de la famille Phobos, notamment Eking, Eight, Elbie, Devos et 8Base.  Il convient de noter que Faust a d\u00e9j\u00e0 \u00e9t\u00e9 document\u00e9 par Cisco Talos en novembre 2023.<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 a d\u00e9crit la variante comme active depuis 2022 et \u00ab ne cible pas des industries ou des r\u00e9gions sp\u00e9cifiques \u00bb.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tl_d2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1705402644_392_Le-logiciel-malveillant-Inferno-deguise-en-Coinbase-a-draine-87.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La cha\u00eene d&#8217;attaque commence par un document XLAM qui, une fois ouvert, t\u00e9l\u00e9charge des donn\u00e9es cod\u00e9es en Base64 depuis Gitea afin de sauvegarder un fichier XLSX inoffensif, tout en r\u00e9cup\u00e9rant furtivement un ex\u00e9cutable qui se fait passer pour un programme de mise \u00e0 jour du logiciel AVG AntiVirus (\u00ab AVG updater. exe&#8221;).<\/p>\n<p>Le binaire, pour sa part, fonctionne comme un t\u00e9l\u00e9chargeur pour r\u00e9cup\u00e9rer et lancer un autre ex\u00e9cutable nomm\u00e9 \u00ab SmartScreen Defender Windows.exe \u00bb afin de relancer son processus de cryptage en employant une attaque sans fichier pour d\u00e9ployer le shellcode malveillant.<\/p>\n<p>&#8220;La variante Faust pr\u00e9sente la capacit\u00e9 de maintenir la persistance dans un environnement et de cr\u00e9er plusieurs threads pour une ex\u00e9cution efficace&#8221;, a d\u00e9clar\u00e9 Lin.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Albabat-Kasseika-Kuiper-de-nouveaux-gangs-de-ransomwares-se-multiplient.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Albabat-Kasseika-Kuiper-de-nouveaux-gangs-de-ransomwares-se-multiplient.jpg\" alt=\"La cyber-s\u00e9curit\u00e9\" border=\"0\" data-original-height=\"215\" data-original-width=\"728\" title=\"La cyber-s\u00e9curit\u00e9\"\/><\/a><\/div>\n<p>Ce d\u00e9veloppement intervient alors que de nouvelles familles de ransomwares telles que <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/ransomware-roundup-albabat\" target=\"_blank\">Albabat<\/a> (alias White Bat), Kasseika, <a rel=\"nofollow noopener\" href=\"https:\/\/stairwell.com\/resources\/kuiper-ransomware-analysis-stairwells-technical-report\/\" target=\"_blank\">Kuiper<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/60440\/\" target=\"_blank\">Mimus<\/a>et <a rel=\"nofollow noopener\" href=\"https:\/\/medium.com\/coinmonks\/older-leaks-re-surfaces-lockbit-imitator-on-surface-web-2c85229a3cf7\" target=\"_blank\">SANS NOM<\/a> ont gagn\u00e9 du terrain, le premier \u00e9tant un malware bas\u00e9 sur Rust distribu\u00e9 sous la forme de logiciels frauduleux tels qu&#8217;un faux outil d&#8217;activation num\u00e9rique de Windows 10 et un programme de triche pour le jeu Counter-Strike 2.<\/p>\n<p>Trellix, qui a examin\u00e9 les versions Windows, Linux et macOS de Kuiper plus t\u00f4t ce mois-ci, a attribu\u00e9 le ransomware bas\u00e9 sur Golang \u00e0 un acteur malveillant nomm\u00e9 RobinHood, qui en a fait la premi\u00e8re publicit\u00e9 sur des forums clandestins en septembre 2023.<\/p>\n<p>&#8220;La nature ax\u00e9e sur la concurrence de Golang profite ici \u00e0 l&#8217;acteur malveillant, en \u00e9vitant les conditions de concurrence et d&#8217;autres probl\u00e8mes courants lorsqu&#8217;il s&#8217;agit de plusieurs threads, ce qui aurait autrement \u00e9t\u00e9 une (presque) certitude&#8221;, a d\u00e9clar\u00e9 le chercheur en s\u00e9curit\u00e9 Max Kersten. <a rel=\"nofollow noopener\" href=\"https:\/\/www.trellix.com\/about\/newsroom\/stories\/research\/the-evolution-of-the-kuiper-ransomware\/\" target=\"_blank\">dit<\/a>.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1706564487_432_Albabat-Kasseika-Kuiper-de-nouveaux-gangs-de-ransomwares-se-multiplient.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1706564487_432_Albabat-Kasseika-Kuiper-de-nouveaux-gangs-de-ransomwares-se-multiplient.jpg\" alt=\"La cyber-s\u00e9curit\u00e9\" border=\"0\" data-original-height=\"298\" data-original-width=\"728\" title=\"La cyber-s\u00e9curit\u00e9\"\/><\/a><\/div>\n<p>\u00ab Un autre facteur exploit\u00e9 par le ransomware Kuiper, qui explique \u00e9galement la popularit\u00e9 croissante de Golang, sont les capacit\u00e9s multiplateformes du langage pour cr\u00e9er des builds pour une vari\u00e9t\u00e9 de plates-formes. Cette flexibilit\u00e9 permet aux attaquants d&#8217;adapter leur code avec peu d&#8217;effort, d&#8217;autant plus que le La majorit\u00e9 de la base de code (c&#8217;est-\u00e0-dire l&#8217;activit\u00e9 li\u00e9e au chiffrement) est du pur Golang et ne n\u00e9cessite aucune r\u00e9\u00e9criture pour une plate-forme diff\u00e9rente.<\/p>\n<p>NONAME se distingue \u00e9galement par le fait que son site de fuite de donn\u00e9es imite celui du groupe LockBit, \u00e9voquant la possibilit\u00e9 qu&#8217;il s&#8217;agisse soit d&#8217;un autre LockBit, soit qu&#8217;il collecte des bases de donn\u00e9es divulgu\u00e9es partag\u00e9es par LockBit sur le portail officiel des fuites, chercheur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/RakeshKrish12\" target=\"_blank\">Rakesh Krishnan<\/a> soulign\u00e9.<\/p>\n<p>Les r\u00e9sultats font suite \u00e0 un <a rel=\"nofollow noopener\" href=\"https:\/\/www.intrinsec.com\/threeam-ransomware\/\" target=\"_blank\">rapport<\/a> de la soci\u00e9t\u00e9 fran\u00e7aise de cybers\u00e9curit\u00e9 Intrinsec qui a connect\u00e9 le ransomware naissant 3AM (\u00e9galement orthographi\u00e9 ThreeAM) au ransomware Royal\/BlackSuit, qui, \u00e0 son tour, est apparu apr\u00e8s la fermeture du syndicat de cybercriminalit\u00e9 Conti en mai 2022.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/3UvK59NV\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Nouveau-JinxLoader-ciblant-les-utilisateurs-avec-les-logiciels-malveillants-Formbook.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Les liens proviennent d&#8217;un \u00ab chevauchement important \u00bb dans les tactiques et les canaux de communication entre le ransomware 3 AM et \u00ab l&#8217;infrastructure partag\u00e9e de l&#8217;ancien lien Conti-Ryuk-TrickBot \u00bb.<\/p>\n<p>Ce n&#8217;est pas tout.  Des acteurs de ransomware ont \u00e9t\u00e9 observ\u00e9s une fois de plus utilisant TeamViewer comme vecteur d&#8217;acc\u00e8s initial pour violer les environnements cibles et tenter de d\u00e9ployer des chiffreurs bas\u00e9s sur le g\u00e9n\u00e9rateur de ransomware LockBit, qui <a rel=\"nofollow noopener\" href=\"https:\/\/www.huntress.com\/blog\/ransomware-deployment-attempts-via-teamviewer\" target=\"_blank\">fuite<\/a> en septembre 2022.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1706564488_697_Albabat-Kasseika-Kuiper-de-nouveaux-gangs-de-ransomwares-se-multiplient.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1706564488_697_Albabat-Kasseika-Kuiper-de-nouveaux-gangs-de-ransomwares-se-multiplient.jpg\" alt=\"La cyber-s\u00e9curit\u00e9\" border=\"0\" data-original-height=\"414\" data-original-width=\"728\" title=\"La cyber-s\u00e9curit\u00e9\"\/><\/a><\/div>\n<p>&#8220;Les acteurs malveillants recherchent tous les moyens disponibles d&#8217;acc\u00e8s aux points de terminaison individuels pour faire des ravages et \u00e9ventuellement \u00e9tendre leur port\u00e9e plus loin dans l&#8217;infrastructure&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Huntress. <a rel=\"nofollow noopener\" href=\"https:\/\/blogs.vmware.com\/security\/2022\/10\/lockbit-3-0-also-known-as-lockbit-black.html\" target=\"_blank\">dit<\/a>.<\/p>\n<p>Ces derni\u00e8res semaines, LockBit 3.0 a \u00e9galement \u00e9t\u00e9 distribu\u00e9 sous la forme de fichiers Microsoft Word d\u00e9guis\u00e9s en CV ciblant des entit\u00e9s en Cor\u00e9e du Sud, selon l&#8217;AhnLab Security Intelligence Center (<a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/60633\/\" target=\"_blank\">UNE SECONDE<\/a>).<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/01\/albabat-kasseika-kuiper-new-ransomware.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80229 janvier 2024\ue804R\u00e9dactionRan\u00e7ongiciels\/logiciels malveillants Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9tect\u00e9 dans la nature une autre variante de la famille des ransomwares Phobos connue sous le nom de Faust. Fortinet FortiGuard Labs, qui a d\u00e9taill\u00e9 la derni\u00e8re it\u00e9ration du ransomware, a d\u00e9clar\u00e9 qu&#8217;il se propage au moyen d&#8217;une infection qui d\u00e9livre un document Microsoft Excel (.XLAM) [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1123880,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,227081,84,4168,4165,4161,200267,58077,78641,226188,74308,4159,4171,200271,200268,27181,4588,200269,200270,63091,6132,128318,4172,4169,4166,4164],"class_list":["post-1123879","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-albabat","tag-avec","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-gangs","tag-golang","tag-kasseika","tag-kuiper","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-multiplient","tag-nouveaux","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-ransomwares","tag-rust","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1123879","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1123879"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1123879\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1123880"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1123879"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1123879"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1123879"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}