{"id":1239128,"date":"2024-07-15T05:41:04","date_gmt":"2024-07-15T07:41:04","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-nouveau-ransomware-hardbit-4-0-utilise-la-protection-par-mot-de-passe-pour-echapper-a-la-detection\/"},"modified":"2024-07-15T05:41:08","modified_gmt":"2024-07-15T07:41:08","slug":"le-nouveau-ransomware-hardbit-4-0-utilise-la-protection-par-mot-de-passe-pour-echapper-a-la-detection","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-nouveau-ransomware-hardbit-4-0-utilise-la-protection-par-mot-de-passe-pour-echapper-a-la-detection\/","title":{"rendered":"Le nouveau ransomware HardBit 4.0 utilise la protection par mot de passe pour \u00e9chapper \u00e0 la d\u00e9tection"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">15 juillet 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 du r\u00e9seau \/ Protection des donn\u00e9es<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Le-nouveau-ransomware-HardBit-40-utilise-la-protection-par-mot.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Des chercheurs en cybers\u00e9curit\u00e9 ont mis en lumi\u00e8re une nouvelle version d&#8217;une souche de ransomware appel\u00e9e HardBit, qui est fournie avec de nouvelles techniques d&#8217;obscurcissement pour dissuader les efforts d&#8217;analyse.<\/p>\n<p>\u00ab Contrairement aux versions pr\u00e9c\u00e9dentes, le groupe HardBit Ransomware a am\u00e9lior\u00e9 la version 4.0 avec une protection par mot de passe \u00bb, ont d\u00e9clar\u00e9 les chercheurs de Cybereason Kotaro Ogino et Koshi Oyama <a rel=\"nofollow noopener\" href=\"https:\/\/www.cybereason.com\/blog\/hardening-of-hardbit\" target=\"_blank\">dit<\/a> dans une analyse.<\/p>\n<p>\u00ab La phrase de passe doit \u00eatre fournie pendant l&#8217;ex\u00e9cution pour que le ransomware soit ex\u00e9cut\u00e9 correctement. Une obscurcissement suppl\u00e9mentaire emp\u00eache les chercheurs en s\u00e9curit\u00e9 d&#8217;analyser le malware. \u00bb<\/p>\n<p>HardBit, qui <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/fortiguard-labs-ransomware-roundup\" target=\"_blank\">est apparu pour la premi\u00e8re fois<\/a> en octobre 2022, est un acteur de menace motiv\u00e9 par des raisons financi\u00e8res qui, comme d&#8217;autres groupes de ransomware, op\u00e8re dans le but de g\u00e9n\u00e9rer des revenus illicites via des tactiques de double extorsion.<\/p>\n<p>Ce qui distingue ce groupe de pirates, c&#8217;est qu&#8217;il n&#8217;exploite pas de site de fuite de donn\u00e9es, mais fait pression sur les victimes pour qu&#8217;elles paient en mena\u00e7ant de mener de nouvelles attaques \u00e0 l&#8217;avenir. Son principal mode de communication s&#8217;effectue via le service de messagerie instantan\u00e9e Tox.<\/p>\n<p>Le vecteur d&#8217;acc\u00e8s initial exact utilis\u00e9 pour violer les environnements cibles n&#8217;est pas actuellement clair, bien qu&#8217;il soit suspect\u00e9 d&#8217;impliquer une attaque par force brute sur les services RDP et SMB.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/auditboard-it-risk-now\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Des-pirates-informatiques-lies-a-la-Chine-infiltrent-une-entreprise.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Les \u00e9tapes de suivi comprennent le vol d&#8217;informations d&#8217;identification \u00e0 l&#8217;aide d&#8217;outils tels que Mimikatz et NLBrute, ainsi que la d\u00e9couverte du r\u00e9seau via des utilitaires tels que Advanced Port Scanner, permettant aux attaquants de se d\u00e9placer lat\u00e9ralement sur le r\u00e9seau au moyen de RDP.<\/p>\n<p>\u00ab Apr\u00e8s avoir compromis un h\u00f4te victime, la charge utile du ransomware HardBit est ex\u00e9cut\u00e9e et effectue un certain nombre d&#8217;\u00e9tapes qui r\u00e9duisent la posture de s\u00e9curit\u00e9 de l&#8217;h\u00f4te avant de crypter les donn\u00e9es de la victime \u00bb, a d\u00e9clar\u00e9 Varonis. <a rel=\"nofollow noopener\" href=\"https:\/\/www.varonis.com\/blog\/hardbit-2.0-ransomware\" target=\"_blank\">not\u00e9<\/a> dans son article technique sur HardBit 2.0 l&#8217;ann\u00e9e derni\u00e8re.<\/p>\n<p>Le chiffrement des h\u00f4tes victimes est effectu\u00e9 en d\u00e9ployant HardBit, qui est fourni \u00e0 l&#8217;aide d&#8217;un virus infectant les fichiers connu appel\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/blogs.blackberry.com\/en\/2019\/10\/threat-spotlight-neshta-file-infector-endures\" target=\"_blank\">Neshta<\/a>Il convient de noter que Neshta a \u00e9t\u00e9 utilis\u00e9 par des acteurs malveillants dans le pass\u00e9 pour \u00e9galement distribuer le ransomware Big Head.<\/p>\n<p>HardBit est \u00e9galement con\u00e7u pour d\u00e9sactiver l&#8217;antivirus Microsoft Defender et mettre fin aux processus et services afin d&#8217;\u00e9chapper \u00e0 la d\u00e9tection potentielle de ses activit\u00e9s et d&#8217;emp\u00eacher la r\u00e9cup\u00e9ration du syst\u00e8me. Il crypte ensuite les fichiers d&#8217;int\u00e9r\u00eat, met \u00e0 jour leurs ic\u00f4nes, change le fond d&#8217;\u00e9cran du bureau et modifie le nom du volume du syst\u00e8me avec la cha\u00eene \u00ab\u00a0Verrouill\u00e9 par HardBit\u00a0\u00bb.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1721029263_369_Le-nouveau-ransomware-HardBit-40-utilise-la-protection-par-mot.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1721029263_369_Le-nouveau-ransomware-HardBit-40-utilise-la-protection-par-mot.png\" alt=\"Ransomware HardBit\" border=\"0\" data-original-height=\"862\" data-original-width=\"1283\" title=\"Ransomware HardBit\"\/><\/a><\/div>\n<p>En plus d&#8217;\u00eatre propos\u00e9 aux op\u00e9rateurs sous forme de versions en ligne de commande ou d&#8217;interface graphique, le ransomware n\u00e9cessite un identifiant d&#8217;autorisation pour pouvoir \u00eatre ex\u00e9cut\u00e9 avec succ\u00e8s. La version GUI prend \u00e9galement en charge un mode d&#8217;effacement pour effacer irr\u00e9vocablement les fichiers et effacer le disque.<\/p>\n<p>\u00ab Une fois que les acteurs de la menace ont saisi avec succ\u00e8s l&#8217;ID d&#8217;autorisation d\u00e9cod\u00e9, HardBit demande une cl\u00e9 de cryptage pour crypter les fichiers sur les machines cibles et proc\u00e8de \u00e0 la proc\u00e9dure de ransomware \u00bb, a not\u00e9 Cybereason.<\/p>\n<p>\u00ab La fonctionnalit\u00e9 du mode effaceur doit \u00eatre activ\u00e9e par le groupe HardBit Ransomware et il s&#8217;agit probablement d&#8217;une fonctionnalit\u00e9 suppl\u00e9mentaire que les op\u00e9rateurs doivent acheter. Si les op\u00e9rateurs ont besoin du mode effaceur, ils doivent d\u00e9ployer hard.txt, un fichier de configuration optionnel du binaire HardBit et contenant l&#8217;ID d&#8217;autorisation pour activer le mode effaceur. \u00bb<\/p>\n<p>Ce d\u00e9veloppement intervient alors que la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Trellix <a rel=\"nofollow noopener\" href=\"https:\/\/www.trellix.com\/blogs\/research\/cactus-ransomware-new-strain-in-the-market\/\" target=\"_blank\">d\u00e9taill\u00e9<\/a> une attaque de ransomware CACTUS qui a \u00e9t\u00e9 observ\u00e9e exploitant des failles de s\u00e9curit\u00e9 dans Ivanti Sentry (CVE-2023-38035) pour installer le malware de cryptage de fichiers \u00e0 l&#8217;aide d&#8217;outils de bureau \u00e0 distance l\u00e9gitimes comme AnyDesk et Splashtop.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/encrypted-drives-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Des-failles-critiques-non-corrigees-ont-ete-revelees-dans-le.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>L&#8217;activit\u00e9 des ransomwares continue de \u00ab suivre une tendance \u00e0 la hausse \u00bb en 2024, les acteurs du ransomware ayant revendiqu\u00e9 962 attaques au premier trimestre 2024, contre 886 attaques signal\u00e9es d&#8217;une ann\u00e9e sur l&#8217;autre. LockBit, Akira et BlackSuit sont apparus comme les familles de ransomwares les plus r\u00e9pandues au cours de cette p\u00e9riode, a d\u00e9clar\u00e9 Symantec.<\/p>\n<p>Selon le rapport de r\u00e9ponse aux incidents de l&#8217;unit\u00e9 42 de 2024 de Palo Alto Networks, <a rel=\"nofollow noopener\" href=\"https:\/\/www.paloaltonetworks.com\/blog\/2024\/02\/unit-42-incident-response-report\/\" target=\"_blank\">temps m\u00e9dian<\/a> Le temps n\u00e9cessaire pour passer d\u2019une compromission \u00e0 une exfiltration de donn\u00e9es est pass\u00e9 de neuf jours en 2021 \u00e0 deux jours l\u2019an dernier. Dans pr\u00e8s de la moiti\u00e9 (45 %) des cas cette ann\u00e9e, ce d\u00e9lai a \u00e9t\u00e9 d\u2019un peu moins de 24 heures.<\/p>\n<p>\u00ab Les preuves disponibles sugg\u00e8rent que l&#8217;exploitation des vuln\u00e9rabilit\u00e9s connues dans les applications publiques continue d&#8217;\u00eatre le principal vecteur des attaques de ransomware \u00bb, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 appartenant \u00e0 Broadcom. <a rel=\"nofollow noopener\" href=\"https:\/\/symantec-enterprise-blogs.security.com\/threat-intelligence\/ransomware-q2-2024\" target=\"_blank\">dit<\/a>\u00ab Bring Your Own Vulnerable Driver (BYOVD) continue d&#8217;\u00eatre une tactique privil\u00e9gi\u00e9e parmi les groupes de ransomware, notamment comme moyen de d\u00e9sactiver les solutions de s\u00e9curit\u00e9. \u00bb<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/new-hardbit-ransomware-40-uses.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80215 juillet 2024\ue804R\u00e9dactionS\u00e9curit\u00e9 du r\u00e9seau \/ Protection des donn\u00e9es Des chercheurs en cybers\u00e9curit\u00e9 ont mis en lumi\u00e8re une nouvelle version d&#8217;une souche de ransomware appel\u00e9e HardBit, qui est fournie avec de nouvelles techniques d&#8217;obscurcissement pour dissuader les efforts d&#8217;analyse. \u00ab Contrairement aux versions pr\u00e9c\u00e9dentes, le groupe HardBit Ransomware a am\u00e9lior\u00e9 la version 4.0 avec une [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1239129,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,240744,238778,4168,4165,41161,21314,241813,238584,200271,238334,98340,12440,680,164,769,185,6845,4392,238617,4172,4169,1282,4166,238583],"class_list":["post-1239128","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-cyberespace","tag-actualites-sur-le-piratage-informatique","tag-comment-pirater","tag-cyber-attaques","tag-detection","tag-echapper","tag-hardbit","tag-les-nouvelles-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-mot","tag-nouveau","tag-par","tag-passe","tag-pour","tag-protection","tag-ransomware","tag-securite-de-linformation","tag-securite-informatique","tag-securite-internet","tag-utilise","tag-violation-de-donnees","tag-vulnerabilite-du-logiciel"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1239128","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1239128"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1239128\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1239129"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1239128"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1239128"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1239128"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}