{"id":1232867,"date":"2024-07-10T13:12:09","date_gmt":"2024-07-10T15:12:09","guid":{"rendered":"https:\/\/teknomers.com\/fr\/un-nouveau-groupe-de-ransomware-exploite-la-vulnerabilite-du-logiciel-de-sauvegarde-veeam\/"},"modified":"2024-07-10T13:12:13","modified_gmt":"2024-07-10T15:12:13","slug":"un-nouveau-groupe-de-ransomware-exploite-la-vulnerabilite-du-logiciel-de-sauvegarde-veeam","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/un-nouveau-groupe-de-ransomware-exploite-la-vulnerabilite-du-logiciel-de-sauvegarde-veeam\/","title":{"rendered":"Un nouveau groupe de ransomware exploite la vuln\u00e9rabilit\u00e9 du logiciel de sauvegarde Veeam"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">10 juillet 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Violation de donn\u00e9es \/ Logiciel malveillant<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Un-nouveau-groupe-de-ransomware-exploite-la-vulnerabilite-du-logiciel.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Une faille de s\u00e9curit\u00e9 d\u00e9sormais corrig\u00e9e dans le logiciel Veeam Backup &#038; Replication est exploit\u00e9e par une op\u00e9ration de ransomware naissante connue sous le nom d&#8217;EstateRansomware.<\/p>\n<p>Le groupe IB, bas\u00e9 \u00e0 Singapour, qui a d\u00e9couvert l&#8217;acteur de la menace d\u00e9but avril 2024, a d\u00e9clar\u00e9 que le modus operandi impliquait l&#8217;exploitation de CVE-2023-27532 (score CVSS : 7,5) pour mener \u00e0 bien les activit\u00e9s malveillantes.<\/p>\n<p>L&#8217;acc\u00e8s initial \u00e0 l&#8217;environnement cible aurait \u00e9t\u00e9 facilit\u00e9 au moyen d&#8217;un dispositif VPN SSL pare-feu Fortinet FortiGate utilisant un compte inactif.<\/p>\n<p>\u00ab L&#8217;acteur de la menace a pivot\u00e9 lat\u00e9ralement du pare-feu FortiGate via le service VPN SSL pour acc\u00e9der au serveur de basculement \u00bb, a d\u00e9clar\u00e9 le chercheur en s\u00e9curit\u00e9 Yeo Zi Wei <a rel=\"nofollow noopener\" href=\"https:\/\/www.group-ib.com\/blog\/estate-ransomware\/\" target=\"_blank\">dit<\/a> dans une analyse publi\u00e9e aujourd&#8217;hui.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/auditboard-it-risk-now\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Des-pirates-informatiques-lies-a-la-Chine-infiltrent-une-entreprise.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>\u00ab Avant l&#8217;attaque par ransomware, des tentatives de force brute VPN ont \u00e9t\u00e9 constat\u00e9es en avril 2024 \u00e0 l&#8217;aide d&#8217;un compte inactif identifi\u00e9 comme \u00ab Acc1 \u00bb. Plusieurs jours plus tard, une connexion VPN r\u00e9ussie \u00e0 l&#8217;aide de \u00ab Acc1 \u00bb a \u00e9t\u00e9 retrac\u00e9e jusqu&#8217;\u00e0 l&#8217;adresse IP distante 149.28.106[.]252.&#8221;<\/p>\n<p>Ensuite, les acteurs de la menace ont proc\u00e9d\u00e9 \u00e0 l&#8217;\u00e9tablissement de connexions RDP entre le pare-feu et le serveur de basculement, puis au d\u00e9ploiement d&#8217;une porte d\u00e9rob\u00e9e persistante nomm\u00e9e \u00ab svchost.exe \u00bb qui est ex\u00e9cut\u00e9e quotidiennement via une t\u00e2che planifi\u00e9e.<\/p>\n<p>L&#8217;acc\u00e8s ult\u00e9rieur au r\u00e9seau a \u00e9t\u00e9 r\u00e9alis\u00e9 \u00e0 l&#8217;aide de la porte d\u00e9rob\u00e9e pour \u00e9chapper \u00e0 la d\u00e9tection. La principale fonction de la porte d\u00e9rob\u00e9e est de se connecter \u00e0 un serveur de commande et de contr\u00f4le (C2) via HTTP et d&#8217;ex\u00e9cuter des commandes arbitraires \u00e9mises par l&#8217;attaquant.<\/p>\n<p>Group-IB a d\u00e9clar\u00e9 avoir observ\u00e9 l&#8217;acteur exploitant la faille Veeam CVE-2023-27532 dans le but d&#8217;activer xp_cmdshell sur le serveur de sauvegarde et de cr\u00e9er un compte d&#8217;utilisateur malveillant nomm\u00e9 \u00ab VeeamBkp \u00bb, tout en effectuant des activit\u00e9s de d\u00e9couverte de r\u00e9seau, d&#8217;\u00e9num\u00e9ration et de collecte d&#8217;informations d&#8217;identification \u00e0 l&#8217;aide d&#8217;outils comme NetScan, AdFind et NitSoft \u00e0 l&#8217;aide du compte nouvellement cr\u00e9\u00e9.<\/p>\n<p>\u00ab Cette exploitation impliquait potentiellement une attaque provenant du dossier VeeamHax sur le serveur de fichiers contre la version vuln\u00e9rable du logiciel Veeam Backup &#038; Replication install\u00e9e sur le serveur de sauvegarde \u00bb, a \u00e9mis l&#8217;hypoth\u00e8se Zi Wei.<\/p>\n<p>\u00ab Cette activit\u00e9 a facilit\u00e9 l&#8217;activation de la proc\u00e9dure stock\u00e9e xp_cmdshell et la cr\u00e9ation ult\u00e9rieure du compte \u00ab VeeamBkp \u00bb. \u00bb<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Un-nouveau-groupe-de-ransomware-exploite-la-vulnerabilite-du-logiciel.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Un-nouveau-groupe-de-ransomware-exploite-la-vulnerabilite-du-logiciel.jpg\" alt=\"Groupe de ransomware\" border=\"0\" data-original-height=\"636\" data-original-width=\"1600\" title=\"Groupe de ransomware\"\/><\/a><\/div>\n<p>L&#8217;attaque a abouti au d\u00e9ploiement du ransomware, mais pas avant d&#8217;avoir pris des mesures pour affaiblir les d\u00e9fenses et de s&#8217;\u00eatre d\u00e9plac\u00e9e lat\u00e9ralement du serveur AD vers tous les autres serveurs et postes de travail utilisant des comptes de domaine compromis.<\/p>\n<p>\u00ab Windows Defender a \u00e9t\u00e9 d\u00e9sactiv\u00e9 de mani\u00e8re permanente \u00e0 l&#8217;aide de DC.exe [Defender Control]suivi du d\u00e9ploiement et de l&#8217;ex\u00e9cution du ransomware avec <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/sysinternals\/downloads\/psexec\" target=\"_blank\">PsExec.exe<\/a>&#8220;, a d\u00e9clar\u00e9 le Groupe IB.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/encrypted-drives-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Des-failles-critiques-non-corrigees-ont-ete-revelees-dans-le.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Cette r\u00e9v\u00e9lation intervient alors que Cisco Talos a r\u00e9v\u00e9l\u00e9 que la plupart des gangs de ransomwares donnent la priorit\u00e9 \u00e0 l&#8217;\u00e9tablissement d&#8217;un acc\u00e8s initial en utilisant des failles de s\u00e9curit\u00e9 dans les applications publiques, des pi\u00e8ces jointes de phishing ou en violant des comptes valides, et en contournant les d\u00e9fenses dans leurs cha\u00eenes d&#8217;attaque.<\/p>\n<p>Le mod\u00e8le de double extorsion consistant \u00e0 exfiltrer les donn\u00e9es avant de crypter les fichiers a en outre donn\u00e9 naissance \u00e0 des outils personnalis\u00e9s d\u00e9velopp\u00e9s par les acteurs (par exemple, Exmatter, Exbyte et StealBit) pour envoyer les informations confidentielles \u00e0 une infrastructure contr\u00f4l\u00e9e par l&#8217;adversaire.<\/p>\n<p>Cela n\u00e9cessite que ces groupes de cybercriminalit\u00e9 \u00e9tablissent un acc\u00e8s \u00e0 long terme pour explorer l&#8217;environnement afin de comprendre la structure du r\u00e9seau, localiser les ressources qui peuvent soutenir l&#8217;attaque, \u00e9lever leurs privil\u00e8ges ou leur permettre de se fondre dans la masse, et identifier les donn\u00e9es de valeur qui peuvent \u00eatre vol\u00e9es.<\/p>\n<p>\u00ab Au cours de l&#8217;ann\u00e9e \u00e9coul\u00e9e, nous avons assist\u00e9 \u00e0 des changements majeurs dans le domaine des ransomwares avec l&#8217;\u00e9mergence de plusieurs nouveaux groupes de ransomwares, chacun pr\u00e9sentant des objectifs, des structures op\u00e9rationnelles et une victimologie uniques \u00bb, a d\u00e9clar\u00e9 Talos. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/common-ransomware-actor-ttps-playbooks\/\" target=\"_blank\">dit<\/a>.<\/p>\n<p>\u00ab Cette diversification met en \u00e9vidence une \u00e9volution vers des activit\u00e9s cybercriminelles plus cibl\u00e9es, alors que des groupes tels que Hunters International, Cactus et Akira se taillent des niches sp\u00e9cifiques, en se concentrant sur des objectifs op\u00e9rationnels distincts et des choix stylistiques pour se diff\u00e9rencier. \u00bb<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/new-ransomware-group-exploiting-veeam.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80210 juillet 2024\ue804R\u00e9dactionViolation de donn\u00e9es \/ Logiciel malveillant Une faille de s\u00e9curit\u00e9 d\u00e9sormais corrig\u00e9e dans le logiciel Veeam Backup &#038; Replication est exploit\u00e9e par une op\u00e9ration de ransomware naissante connue sous le nom d&#8217;EstateRansomware. Le groupe IB, bas\u00e9 \u00e0 Singapour, qui a d\u00e9couvert l&#8217;acteur de la menace d\u00e9but avril 2024, a d\u00e9clar\u00e9 que le modus [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1232868,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,240744,238778,4168,4165,7727,681,238584,6816,200271,238334,98340,680,4392,20072,238617,4172,4169,132463,4166,3667,238583],"class_list":["post-1232867","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-cyberespace","tag-actualites-sur-le-piratage-informatique","tag-comment-pirater","tag-cyber-attaques","tag-exploite","tag-groupe","tag-les-nouvelles-des-hackers","tag-logiciel","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-nouveau","tag-ransomware","tag-sauvegarde","tag-securite-de-linformation","tag-securite-informatique","tag-securite-internet","tag-veeam","tag-violation-de-donnees","tag-vulnerabilite","tag-vulnerabilite-du-logiciel"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1232867","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1232867"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1232867\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1232868"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1232867"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1232867"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1232867"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}