{"id":1271492,"date":"2024-08-08T05:53:07","date_gmt":"2024-08-08T07:53:07","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-fbi-et-la-cisa-mettent-en-garde-contre-le-ransomware-blacksuit-qui-exige-jusqua-500-millions-de-dollars\/"},"modified":"2024-08-08T05:53:11","modified_gmt":"2024-08-08T07:53:11","slug":"le-fbi-et-la-cisa-mettent-en-garde-contre-le-ransomware-blacksuit-qui-exige-jusqua-500-millions-de-dollars","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-fbi-et-la-cisa-mettent-en-garde-contre-le-ransomware-blacksuit-qui-exige-jusqua-500-millions-de-dollars\/","title":{"rendered":"Le FBI et la CISA mettent en garde contre le ransomware BlackSuit qui exige jusqu&#8217;\u00e0 500 millions de dollars"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">08 ao\u00fbt 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Infrastructures critiques \/ Logiciels malveillants<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/Le-FBI-et-la-CISA-mettent-en-garde-contre-le.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>La souche de ransomware connue sous le nom de BlackSuit a demand\u00e9 jusqu&#8217;\u00e0 500 millions de dollars de ran\u00e7on \u00e0 ce jour, avec une demande de ran\u00e7on individuelle atteignant 60 millions de dollars.<\/p>\n<p>C&#8217;est ce qu&#8217;indique un avis mis \u00e0 jour de l&#8217;Agence am\u00e9ricaine de cybers\u00e9curit\u00e9 et de s\u00e9curit\u00e9 des infrastructures (CISA) et du Federal Bureau of Investigation (FBI).<\/p>\n<p>\u00ab Les acteurs de BlackSuit ont montr\u00e9 une volont\u00e9 de n\u00e9gocier les montants des paiements \u00bb, ont d\u00e9clar\u00e9 les agences <a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2024\/08\/07\/royal-ransomware-actors-rebrand-blacksuit-fbi-and-cisa-release-update-advisory\" target=\"_blank\">dit<\/a>\u00ab Les montants de la ran\u00e7on ne font pas partie de la note de ran\u00e7on initiale, mais n\u00e9cessitent une interaction directe avec l&#8217;acteur de la menace via une URL .onion (accessible via le navigateur Tor) fournie apr\u00e8s le cryptage. \u00bb<\/p>\n<p>Les attaques impliquant des ransomwares ont cibl\u00e9 plusieurs secteurs d\u2019infrastructures critiques couvrant les installations commerciales, les soins de sant\u00e9 et la sant\u00e9 publique, les installations gouvernementales et la fabrication critique.<\/p>\n<p>\u00c9volution du ransomware Royal, il exploite l&#8217;acc\u00e8s initial obtenu via des e-mails de phishing pour d\u00e9sarmer les logiciels antivirus et exfiltrer les donn\u00e9es sensibles avant de d\u00e9ployer finalement le ransomware et de crypter les syst\u00e8mes.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/ever-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/1722872960_626_Des-organisations-kazakhes-ciblees-par-des-cyberattaques-de-type.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>D\u2019autres voies d\u2019infection courantes incluent l\u2019utilisation du protocole RDP (Remote Desktop Protocol), l\u2019exploitation d\u2019applications Internet vuln\u00e9rables et l\u2019acc\u00e8s achet\u00e9 via des courtiers d\u2019acc\u00e8s initiaux (IAB).<\/p>\n<p>Les acteurs de BlackSuit sont connus pour utiliser des logiciels et des outils l\u00e9gitimes de surveillance et de gestion \u00e0 distance (RMM) tels que les logiciels malveillants SystemBC et GootLoader pour maintenir la persistance dans les r\u00e9seaux des victimes.<\/p>\n<p>\u00ab Des acteurs de BlackSuit ont \u00e9t\u00e9 observ\u00e9s en train d&#8217;utiliser SharpShares et SoftPerfect NetWorx pour recenser les r\u00e9seaux des victimes \u00bb, ont not\u00e9 les agences. \u00ab L&#8217;outil de vol d&#8217;identifiants Mimikatz, disponible au public, et les outils de collecte de mots de passe de Nirsoft ont \u00e9galement \u00e9t\u00e9 trouv\u00e9s sur les syst\u00e8mes des victimes. Des outils tels que PowerTool et GMER sont souvent utilis\u00e9s pour arr\u00eater les processus syst\u00e8me. \u00bb<\/p>\n<p>La CISA et le FBI ont mis en garde contre une augmentation des cas o\u00f9 les victimes re\u00e7oivent des communications t\u00e9l\u00e9phoniques ou par courrier \u00e9lectronique de la part des acteurs de BlackSuit concernant la compromission et la ran\u00e7on, une tactique de plus en plus adopt\u00e9e par les gangs de ransomware pour augmenter la pression.<\/p>\n<p>\u00ab Ces derni\u00e8res ann\u00e9es, les acteurs malveillants semblent de plus en plus int\u00e9ress\u00e9s non seulement \u00e0 menacer directement les organisations, mais \u00e9galement \u00e0 menacer les victimes secondaires \u00bb, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Sophos. <a rel=\"nofollow noopener\" href=\"https:\/\/news.sophos.com\/en-us\/2024\/08\/06\/turning-the-screws-the-pressure-tactics-of-ransomware-gangs\/\" target=\"_blank\">dit<\/a> Dans un rapport publi\u00e9 cette semaine, \u00ab par exemple, comme cela a \u00e9t\u00e9 rapport\u00e9 en janvier 2024, des attaquants ont menac\u00e9 d&#8217;\u00ab \u00e9craser \u00bb les patients d&#8217;un h\u00f4pital sp\u00e9cialis\u00e9 dans le cancer et ont envoy\u00e9 des SMS mena\u00e7ants \u00e0 l&#8217;\u00e9pouse d&#8217;un PDG. \u00bb<\/p>\n<p>Ce n\u2019est pas tout. Les acteurs malveillants ont \u00e9galement affirm\u00e9 avoir \u00e9valu\u00e9 les donn\u00e9es vol\u00e9es \u00e0 la recherche de preuves d\u2019activit\u00e9s ill\u00e9gales, de non-conformit\u00e9 r\u00e9glementaire et d\u2019\u00e9carts financiers, allant m\u00eame jusqu\u2019\u00e0 d\u00e9clarer qu\u2019un employ\u00e9 d\u2019une organisation compromise avait recherch\u00e9 du mat\u00e9riel d\u2019abus sexuel sur enfant en publiant l\u2019historique de son navigateur Web.<\/p>\n<p>De telles m\u00e9thodes agressives peuvent non seulement \u00eatre utilis\u00e9es comme moyen de pression suppl\u00e9mentaire pour contraindre leurs cibles \u00e0 payer, mais elles peuvent \u00e9galement nuire \u00e0 leur r\u00e9putation en les critiquant comme \u00e9tant contraires \u00e0 l\u2019\u00e9thique ou n\u00e9gligentes.<\/p>\n<p>Ce d\u00e9veloppement intervient dans un contexte d&#8217;\u00e9mergence de nouvelles familles de ransomwares comme <a rel=\"nofollow noopener\" href=\"https:\/\/www.broadcom.com\/support\/security-center\/protection-bulletin\/lynx-ransomware\" target=\"_blank\">Lynx<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/www.broadcom.com\/support\/security-center\/protection-bulletin\/oceanspy-ransomware\" target=\"_blank\">Espion oc\u00e9anique<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/www.broadcom.com\/support\/security-center\/protection-bulletin\/radar-ransomware\" target=\"_blank\">Radar<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/www.broadcom.com\/support\/security-center\/protection-bulletin\/zilla-ransomware-a-recent-crysis-variant\" target=\"_blank\">Zilla<\/a> (une variante du ransomware Crysis\/Dharma), et <a rel=\"nofollow noopener\" href=\"https:\/\/www.broadcom.com\/support\/security-center\/protection-bulletin\/zola-a-new-proton-ransomware-variant\" target=\"_blank\">Zola<\/a> (une variante du ransomware Proton) dans la nature, m\u00eame si les groupes de ransomware existants font constamment \u00e9voluer leur modus operandi en incorporant de nouveaux outils dans leur arsenal.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/cis-image-hn\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/Les-publicites-Facebook-menent-a-de-faux-sites-Web-qui.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Un exemple de cas est celui de Hunters International, qui a \u00e9t\u00e9 observ\u00e9 en utilisant un nouveau malware bas\u00e9 sur C# appel\u00e9 SharpRhino comme vecteur d&#8217;infection initial et un cheval de Troie d&#8217;acc\u00e8s \u00e0 distance (RAT). <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/ps1.thundershell\" target=\"_blank\">ThunderShell<\/a> Famille de logiciels malveillants, elle est diffus\u00e9e via un domaine de typosquatting se faisant passer pour l&#8217;outil d&#8217;administration r\u00e9seau populaire Angry IP Scanner.<\/p>\n<p>Il convient de souligner que des campagnes de malvertising ont \u00e9t\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/www.esentire.com\/blog\/workersdevbackdoor-delivered-via-malvertising\" target=\"_blank\">rep\u00e9r\u00e9<\/a> en livrant le malware aussi r\u00e9cemment qu&#8217;en janvier 2024, selon eSentire. Le RAT open source est \u00e9galement appel\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/www.connectwise.com\/blog\/cybersecurity\/former-darkside-ransomware-affiliate-distributing-trojanized-installers-via-malvertising\" target=\"_blank\">Colis RAT<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/darkside-affiliate-supply-chain-software-compromise\/\" target=\"_blank\">JAMBON FUM\u00c9<\/a>.<\/p>\n<p>\u00ab Lors de son ex\u00e9cution, il \u00e9tablit une persistance et fournit \u00e0 l&#8217;attaquant un acc\u00e8s \u00e0 distance \u00e0 l&#8217;appareil, qui est ensuite utilis\u00e9 pour faire progresser l&#8217;attaque \u00bb, explique Michael Forret, chercheur chez Quorum Cyber. <a rel=\"nofollow noopener\" href=\"https:\/\/www.quorumcyber.com\/insights\/sharprhino-new-hunters-international-rat-identified-by-quorum-cyber\/\" target=\"_blank\">dit<\/a>\u00ab En utilisant des techniques in\u00e9dites, le logiciel malveillant est capable d&#8217;obtenir un niveau \u00e9lev\u00e9 d&#8217;autorisation sur l&#8217;appareil afin de garantir que l&#8217;attaquant est en mesure de poursuivre son ciblage avec un minimum de perturbations. \u00bb<\/p>\n<p>Hunters International est consid\u00e9r\u00e9 comme une nouvelle entit\u00e9 du groupe de ransomware Hive, aujourd&#8217;hui disparu. D\u00e9tect\u00e9 pour la premi\u00e8re fois en octobre 2023, il a revendiqu\u00e9 la responsabilit\u00e9 de 134 attaques au cours des sept premiers mois de 2024.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/08\/fbi-and-cisa-warn-of-blacksuit.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80208 ao\u00fbt 2024\ue804Ravie LakshmananInfrastructures critiques \/ Logiciels malveillants La souche de ransomware connue sous le nom de BlackSuit a demand\u00e9 jusqu&#8217;\u00e0 500 millions de dollars de ran\u00e7on \u00e0 ce jour, avec une demande de ran\u00e7on individuelle atteignant 60 millions de dollars. C&#8217;est ce qu&#8217;indique un avis mis \u00e0 jour de l&#8217;Agence am\u00e9ricaine de cybers\u00e9curit\u00e9 et [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1271493,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,238778,166119,4805,4168,841,4158,4165,2414,3305,29062,525,828,238584,200271,3915,1610,238334,98340,364,4392,238617,4172,4169,4166,238583],"class_list":["post-1271492","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-piratage-informatique","tag-blacksuit","tag-cisa","tag-comment-pirater","tag-contre","tag-cyber-actualites","tag-cyber-attaques","tag-dollars","tag-exige","tag-fbi","tag-garde","tag-jusqua","tag-les-nouvelles-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-mettent","tag-millions","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-qui","tag-ransomware","tag-securite-de-linformation","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-du-logiciel"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1271492","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1271492"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1271492\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1271493"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1271492"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1271492"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1271492"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}