{"id":1281995,"date":"2024-08-15T17:11:04","date_gmt":"2024-08-15T19:11:04","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-groupe-ransomhub-deploie-un-nouvel-outil-de-suppression-des-edr-lors-des-dernieres-cyberattaques\/"},"modified":"2024-08-15T17:11:09","modified_gmt":"2024-08-15T19:11:09","slug":"le-groupe-ransomhub-deploie-un-nouvel-outil-de-suppression-des-edr-lors-des-dernieres-cyberattaques","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-groupe-ransomhub-deploie-un-nouvel-outil-de-suppression-des-edr-lors-des-dernieres-cyberattaques\/","title":{"rendered":"Le groupe RansomHub d\u00e9ploie un nouvel outil de suppression des EDR lors des derni\u00e8res cyberattaques"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">15 ao\u00fbt 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Ransomware \/ Cybercriminalit\u00e9<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/Le-groupe-RansomHub-deploie-un-nouvel-outil-de-suppression-des.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Un groupe de cybercriminels ayant des liens avec le ransomware RansomHub a \u00e9t\u00e9 observ\u00e9 en train d&#8217;utiliser un nouvel outil con\u00e7u pour mettre fin aux logiciels de d\u00e9tection et de r\u00e9ponse aux points de terminaison (EDR) sur les h\u00f4tes compromis, rejoignant ainsi d&#8217;autres programmes similaires comme AuKill (alias AvNeutralizer) et Terminator.<\/p>\n<p>L&#8217;utilitaire de suppression d&#8217;EDR a \u00e9t\u00e9 surnomm\u00e9 EDRKillShifter par la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Sophos, qui a d\u00e9couvert l&#8217;outil en lien avec une attaque de ransomware rat\u00e9e en mai 2024.<\/p>\n<p>\u00ab L&#8217;outil EDRKillShifter est un ex\u00e9cutable \u00ab chargeur \u00bb \u2013 un m\u00e9canisme de livraison pour un pilote l\u00e9gitime vuln\u00e9rable aux abus (\u00e9galement connu sous le nom de \u00ab apportez votre propre pilote vuln\u00e9rable \u00bb ou <a rel=\"nofollow noopener\" href=\"https:\/\/www.securityjoes.com\/post\/security-s-achilles-heel-vulnerable-drivers-on-the-prowl\" target=\"_blank\">Apportez votre propre vin<\/a>outil), &#8221; chercheur en s\u00e9curit\u00e9 Andreas Klopsch <a rel=\"nofollow noopener\" href=\"https:\/\/news.sophos.com\/en-us\/2024\/08\/14\/edr-kill-shifter\/\" target=\"_blank\">dit<\/a>\u00ab En fonction des exigences de l&#8217;acteur de la menace, il peut fournir une vari\u00e9t\u00e9 de charges utiles de pilotes diff\u00e9rentes. \u00bb<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/inside-c-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/Des-experts-decouvrent-de-graves-failles-dans-AWS-conduisant-a.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>RansomHub, une version pr\u00e9sum\u00e9e du ransomware Knight, a fait surface en f\u00e9vrier 2024, exploitant des failles de s\u00e9curit\u00e9 connues pour obtenir un acc\u00e8s initial et supprimer des logiciels de bureau \u00e0 distance l\u00e9gitimes tels qu&#8217;Atera et Splashtop pour un acc\u00e8s persistant.<\/p>\n<p>Le mois dernier, Microsoft a r\u00e9v\u00e9l\u00e9 que le c\u00e9l\u00e8bre syndicat de cybercriminalit\u00e9 connu sous le nom de Scattered Spider a int\u00e9gr\u00e9 des souches de ransomware telles que RansomHub et Qilin dans son arsenal.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/1723749063_906_Le-groupe-RansomHub-deploie-un-nouvel-outil-de-suppression-des.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/1723749063_906_Le-groupe-RansomHub-deploie-un-nouvel-outil-de-suppression-des.png\" alt=\"Outil de suppression de l'EDR\" border=\"0\" data-original-height=\"518\" data-original-width=\"728\" title=\"Outil de suppression de l'EDR\"\/><\/a><\/div>\n<p>Ex\u00e9cut\u00e9 via la ligne de commande avec une entr\u00e9e de cha\u00eene de mot de passe, l&#8217;ex\u00e9cutable d\u00e9crypte une ressource int\u00e9gr\u00e9e nomm\u00e9e BIN et l&#8217;ex\u00e9cute en m\u00e9moire. La ressource BIN d\u00e9compresse et ex\u00e9cute une charge utile finale et obscurcie bas\u00e9e sur Go, qui exploite ensuite diff\u00e9rents pilotes vuln\u00e9rables et l\u00e9gitimes pour obtenir des privil\u00e8ges \u00e9lev\u00e9s et d\u00e9sarmer le logiciel EDR.<\/p>\n<p>\u00ab La langue du binaire est le russe, ce qui indique que l&#8217;auteur du malware a compil\u00e9 l&#8217;ex\u00e9cutable sur un ordinateur avec des param\u00e8tres de localisation russes \u00bb, a d\u00e9clar\u00e9 Klopsch. \u00ab Tous les tueurs EDR d\u00e9compress\u00e9s int\u00e8grent un pilote vuln\u00e9rable dans la section .data. \u00bb<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/cis-image-hn\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/1723195626_70_Le-ministere-de-la-Justice-accuse-un-homme-de-Nashville.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Pour att\u00e9nuer la menace, il est recommand\u00e9 de maintenir les syst\u00e8mes \u00e0 jour, d\u2019activer la protection contre les falsifications dans le logiciel EDR et de pratiquer une hygi\u00e8ne rigoureuse pour les r\u00f4les de s\u00e9curit\u00e9 Windows.<\/p>\n<p>\u00ab Cette attaque n&#8217;est possible que si l&#8217;attaquant augmente les privil\u00e8ges qu&#8217;il contr\u00f4le ou s&#8217;il peut obtenir des droits d&#8217;administrateur \u00bb, a d\u00e9clar\u00e9 Klopsch. \u00ab La s\u00e9paration entre les privil\u00e8ges d&#8217;utilisateur et d&#8217;administrateur peut aider \u00e0 emp\u00eacher les attaquants de charger facilement les pilotes. \u00bb<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/08\/ransomhub-group-deploys-new-edr-killing.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80215 ao\u00fbt 2024\ue804Ravie LakshmananRansomware \/ Cybercriminalit\u00e9 Un groupe de cybercriminels ayant des liens avec le ransomware RansomHub a \u00e9t\u00e9 observ\u00e9 en train d&#8217;utiliser un nouvel outil con\u00e7u pour mettre fin aux logiciels de d\u00e9tection et de r\u00e9ponse aux points de terminaison (EDR) sur les h\u00f4tes compromis, rejoignant ainsi d&#8217;autres programmes similaires comme AuKill (alias AvNeutralizer) [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1281996,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,238778,4168,4158,6124,7050,119,133,158321,681,238584,200271,320,238334,98340,716,5527,242174,238617,246491,4172,5595,4166,238583],"class_list":["post-1281995","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-piratage-informatique","tag-comment-pirater","tag-cyber-actualites","tag-cyberattaques","tag-deploie","tag-dernieres","tag-des","tag-edr","tag-groupe","tag-les-nouvelles-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-lors","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-nouvel","tag-outil","tag-ransomhub","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-suppression","tag-violation-de-donnees","tag-vulnerabilite-du-logiciel"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1281995","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1281995"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1281995\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1281996"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1281995"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1281995"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1281995"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}