{"id":1182322,"date":"2024-03-06T23:05:30","date_gmt":"2024-03-07T01:05:30","guid":{"rendered":"https:\/\/teknomers.com\/fr\/alerte-ghostsec-et-stormous-lancent-des-attaques-conjointes-de-ransomware-dans-plus-de-15-pays\/"},"modified":"2024-03-06T23:05:34","modified_gmt":"2024-03-07T01:05:34","slug":"alerte-ghostsec-et-stormous-lancent-des-attaques-conjointes-de-ransomware-dans-plus-de-15-pays","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/alerte-ghostsec-et-stormous-lancent-des-attaques-conjointes-de-ransomware-dans-plus-de-15-pays\/","title":{"rendered":"Alerte\u00a0: GhostSec et Stormous lancent des attaques conjointes de ransomware dans plus de 15 pays"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

Le groupe de cybercriminalit\u00e9 appel\u00e9 GhostSec a \u00e9t\u00e9 li\u00e9 \u00e0 une variante Golang d’une famille de ransomwares appel\u00e9e Fant\u00f4meLocker<\/strong>.<\/p>\n

“Les groupes de ransomware TheGhostSec et Stormous m\u00e8nent conjointement des attaques de ransomware \u00e0 double extorsion sur divers secteurs d’activit\u00e9 dans plusieurs pays”, Chetan Raghuprasad, chercheur chez Cisco Talos. dit<\/a> dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n

“GhostLocker et Stormous ransomware ont lanc\u00e9 un nouveau programme de ransomware-as-a-service (RaaS) STMX_GhostLocker, offrant diverses options \u00e0 leurs affili\u00e9s.”<\/p>\n

Les attaques organis\u00e9es par le groupe ont cibl\u00e9 des victimes \u00e0 Cuba, en Argentine, en Pologne, en Chine, au Liban, en Isra\u00ebl, en Ouzb\u00e9kistan, en Inde, en Afrique du Sud, au Br\u00e9sil, au Maroc, au Qatar, en Turquie, en \u00c9gypte, au Vietnam, en Tha\u00eflande et en Indon\u00e9sie.<\/p>\n

Certains des secteurs d’activit\u00e9 les plus touch\u00e9s comprennent la technologie, l’\u00e9ducation, la fabrication, le gouvernement, les transports, l’\u00e9nergie, le secteur m\u00e9dico-l\u00e9gal, l’immobilier et les t\u00e9l\u00e9communications.<\/p>\n

GhostSec \u2013 \u00e0 ne pas confondre avec Groupe de s\u00e9curit\u00e9 fant\u00f4me<\/a> (\u00e9galement appel\u00e9 GhostSec) \u2013 fait partie d\u2019une coalition appel\u00e9e Les cinq familles<\/a>qui comprend \u00e9galement ThreatSec, Stormous, Blackforums et SiegedSec.<\/p>\n

\"La<\/a><\/center><\/div>\n

Il a \u00e9t\u00e9 cr\u00e9\u00e9 en ao\u00fbt 2023 pour \u00ab\u00a0\u00e9tablir une meilleure unit\u00e9 et de meilleures connexions pour tous dans le monde souterrain d’Internet, afin d’\u00e9tendre et de d\u00e9velopper notre travail et nos op\u00e9rations\u00a0\u00bb.<\/p>\n

\u00c0 la fin de l’ann\u00e9e derni\u00e8re, le groupe de cybercriminalit\u00e9 aventur\u00e9<\/a> se lance dans le ransomware-as-a-service (RaaS) avec GhostLocker, le proposant \u00e0 d’autres acteurs pour 269,99 $ par mois. Peu de temps apr\u00e8s, le groupe de ransomware Stormous a annonc\u00e9 qu’il utiliserait un ransomware bas\u00e9 sur Python dans ses attaques.<\/p>\n

Les derni\u00e8res d\u00e9couvertes de Talos montrent que les deux groupes se sont unis pour non seulement s’attaquer \u00e0 un large \u00e9ventail de secteurs, mais \u00e9galement lancer une version mise \u00e0 jour de GhostLocker en novembre 2023 et lancer un nouveau programme RaaS en 2024 appel\u00e9 STMX_GhostLocker.<\/p>\n

“Le nouveau programme est compos\u00e9 de trois cat\u00e9gories de services pour les affili\u00e9s : payants, gratuits et une autre pour les individus sans programme qui souhaitent uniquement vendre ou publier des donn\u00e9es sur leur blog (service PYV)”, a expliqu\u00e9 Raghuprasad.<\/p>\n

STMX_GhostLocker, qui dispose de son propre site de fuite sur le dark web, recense pas moins de six victimes originaires d’Inde, d’Ouzb\u00e9kistan, d’Indon\u00e9sie, de Pologne, de Tha\u00eflande et d’Argentine.<\/p>\n

GhostLocker 2.0 (alias GhostLocker V2) est \u00e9crit en Go et a \u00e9t\u00e9 annonc\u00e9 comme \u00e9tant pleinement efficace et offrant des capacit\u00e9s de cryptage\/d\u00e9chiffrement rapides. Il est \u00e9galement accompagn\u00e9 d’une demande de ran\u00e7on remani\u00e9e qui invite les victimes \u00e0 les contacter dans les sept jours, sous peine de risquer la fuite de leurs donn\u00e9es vol\u00e9es.<\/p>\n

Le syst\u00e8me RaaS permet \u00e9galement aux affili\u00e9s de suivre leurs op\u00e9rations, de surveiller l’\u00e9tat du cryptage et les paiements via un panneau Web. Ils disposent \u00e9galement d’un constructeur qui permet de configurer la charge utile du casier en fonction de leurs pr\u00e9f\u00e9rences, y compris les r\u00e9pertoires \u00e0 chiffrer et les processus et services \u00e0 terminer avant de commencer le processus de chiffrement.<\/p>\n

Une fois d\u00e9ploy\u00e9, le ransomware \u00e9tablit une connexion avec un panneau de commande et de contr\u00f4le (C2) et proc\u00e8de \u00e0 la routine de cryptage, mais pas avant de tuer les processus ou services d\u00e9finis et d’exfiltrer les fichiers correspondant \u00e0 une liste sp\u00e9cifique d’extensions.<\/p>\n

\"La<\/a><\/center><\/div>\n

Talos a d\u00e9clar\u00e9 avoir d\u00e9couvert deux nouveaux outils probablement utilis\u00e9s par GhostSec pour compromettre des sites l\u00e9gitimes. “L’un d’eux est l’ensemble d’outils ‘GhostSec Deep Scan’ pour analyser des sites Web l\u00e9gitimes de mani\u00e8re r\u00e9cursive, et un autre est un outil de piratage pour effectuer des attaques de script intersite (XSS) appel\u00e9 ‘GhostPresser'”, a d\u00e9clar\u00e9 Raghuprasad.<\/p>\n

GhostPresser est principalement con\u00e7u pour s’introduire dans les sites WordPress, permettant aux acteurs malveillants de modifier les param\u00e8tres du site, d’ajouter de nouveaux plugins et utilisateurs, et m\u00eame d’installer de nouveaux th\u00e8mes, d\u00e9montrant l’engagement de GhostSec \u00e0 faire \u00e9voluer son arsenal.<\/p>\n

“Le groupe lui-m\u00eame a affirm\u00e9 l’avoir utilis\u00e9 dans des attaques contre des victimes, mais nous n’avons aucun moyen de valider ces affirmations. Cet outil serait probablement utilis\u00e9 par les op\u00e9rateurs de ransomware pour diverses raisons”, a d\u00e9clar\u00e9 Talos. L’actualit\u00e9 des hackers.<\/p>\n

“L’outil d’analyse approfondie pourrait \u00eatre exploit\u00e9 pour rechercher des voies d’acc\u00e8s aux r\u00e9seaux des victimes et l’outil GhostPresser, en plus de compromettre les sites Web des victimes, pourrait \u00eatre utilis\u00e9 pour organiser les charges utiles \u00e0 distribuer, si elles ne souhaitent pas utiliser l’infrastructure des acteurs.”<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n