{"id":1539346,"date":"2025-02-14T15:34:43","date_gmt":"2025-02-14T17:34:43","guid":{"rendered":"https:\/\/teknomers.com\/fr\/ransomhub-devient-le-premier-groupe-de-ransomware-de-2024-frappant-plus-de-600-organisations-dans-le-monde-entier\/"},"modified":"2025-02-14T15:34:48","modified_gmt":"2025-02-14T17:34:48","slug":"ransomhub-devient-le-premier-groupe-de-ransomware-de-2024-frappant-plus-de-600-organisations-dans-le-monde-entier","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/ransomhub-devient-le-premier-groupe-de-ransomware-de-2024-frappant-plus-de-600-organisations-dans-le-monde-entier\/","title":{"rendered":"RansomHub devient le premier groupe de ransomware de 2024, frappant plus de 600 organisations dans le monde entier"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/RansomHub-devient-le-premier-groupe-de-ransomware-de-2024-frappant.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Les acteurs de la menace derri\u00e8re le sch\u00e9ma RansomHub Ransomware-as-a-Service (RAAS) ont \u00e9t\u00e9 observ\u00e9s en train de tirer parti des d\u00e9fauts de s\u00e9curit\u00e9 d\u00e9sormais r\u00e9gl\u00e9s dans Microsoft Active Directory et le protocole Netlogon pour d\u00e9g\u00e9n\u00e9rer les privil\u00e8ges et obtenir un acc\u00e8s non autoris\u00e9 au contr\u00f4leur de domaine d&#8217;un r\u00e9seau de victime dans le cadre des privil\u00e8ges et \u00e0 un acc\u00e8s non autoris\u00e9 au contr\u00f4leur de domaine d&#8217;un r\u00e9seau de victime dans le cadre des privil\u00e8ge leur strat\u00e9gie post-compromise.<\/p>\n<p>&#8220;RansomHub a cibl\u00e9 plus de 600 organisations dans le monde, couvrant des secteurs tels que les soins de sant\u00e9, les finances, le gouvernement et les infrastructures critiques, ce qui l&#8217;a \u00e9tabli comme le groupe de ransomware le plus actif en 2024&#8221;, analystes du groupe-IB <a rel=\"noopener nofollow\" href=\"https:\/\/www.group-ib.com\/blog\/ransomhub-never-sleeps-episode-1\/\" target=\"_blank\">dit<\/a> Dans un rapport exhaustif publi\u00e9 cette semaine.<\/p>\n<p>Le groupe Ransomware a \u00e9merg\u00e9 pour la premi\u00e8re fois en f\u00e9vrier 2024, acqu\u00e9rant le code source associ\u00e9 au gang Raas Knight (anciennement cyclope) d\u00e9sormais disparu du Forum de cybercriminalit\u00e9 rampe pour acc\u00e9l\u00e9rer ses op\u00e9rations. Environ cinq mois plus tard, une version mise \u00e0 jour du casier a \u00e9t\u00e9 annonc\u00e9e sur le march\u00e9 illicite avec des capacit\u00e9s pour crypter \u00e0 distance les donn\u00e9es via le protocole SFTP.<\/p>\n<p>Il est disponible dans plusieurs variantes qui sont capables de chiffrer des fichiers sur les serveurs Windows, VMware ESXi et SFTP. RansomHub a \u00e9galement \u00e9t\u00e9 observ\u00e9 en recrutant activement des affili\u00e9s aupr\u00e8s de groupes Lockbit et BlackCat dans le cadre d&#8217;un programme de partenariat, indiquant une tentative de capitaliser sur les actions d&#8217;application de la loi ciblant ses concurrents.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/encrypted-attacks-report-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Dans l&#8217;incident analys\u00e9 par la Singapourien Cybersecurity Company, l&#8217;acteur de menace aurait tent\u00e9 sans succ\u00e8s d&#8217;exploiter un d\u00e9faut critique impactant les appareils Pan-OS de Palo Alto Networks (CVE-2024-3400) en utilisant une preuve de concept accessible en bourse (POC (POC-POC (POC accessible en bours ), avant finalement de violer le r\u00e9seau des victimes au moyen d&#8217;une attaque par force brute contre le service VPN.<\/p>\n<p>&#8220;Cette tentative de force brute \u00e9tait bas\u00e9e sur un dictionnaire enrichi de plus de 5 000 noms d&#8217;utilisateur et mots de passe&#8221;, ont d\u00e9clar\u00e9 les chercheurs. &#8220;L&#8217;attaquant a finalement eu acc\u00e8s via un compte par d\u00e9faut fr\u00e9quemment utilis\u00e9 dans les solutions de sauvegarde de donn\u00e9es, et le p\u00e9rim\u00e8tre a finalement \u00e9t\u00e9 viol\u00e9.&#8221;<\/p>\n<p>L&#8217;acc\u00e8s initial a ensuite \u00e9t\u00e9 maltrait\u00e9 pour effectuer l&#8217;attaque des ransomwares, le cryptage des donn\u00e9es et l&#8217;exfiltration se produisant dans les 24 heures suivant le compromis.<\/p>\n<p>En particulier, cela a impliqu\u00e9 l&#8217;armement de deux d\u00e9fauts de s\u00e9curit\u00e9 connus dans Active Directory (CVE-2021-42278 AKA NOPAC) et le protocole Netlogon (CVE-2020-1472 AKA <a rel=\"noopener nofollow\" href=\"https:\/\/msrc.microsoft.com\/blog\/2020\/10\/attacks-exploiting-netlogon-vulnerability-cve-2020-1472\/\" target=\"_blank\">Z\u00e9rologon<\/a>) pour prendre le contr\u00f4le du contr\u00f4leur de domaine et effectuer un mouvement lat\u00e9ral \u00e0 travers le r\u00e9seau.<\/p>\n<p>&#8220;L&#8217;exploitation des vuln\u00e9rabilit\u00e9s susmentionn\u00e9es a permis \u00e0 l&#8217;attaquant d&#8217;obtenir un acc\u00e8s privil\u00e9gi\u00e9 complet au contr\u00f4leur de domaine, qui est le centre nerveux d&#8217;une infrastructure Windows Microsoft&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>&#8220;Apr\u00e8s l&#8217;ach\u00e8vement des op\u00e9rations d&#8217;exfiltration, l&#8217;attaquant a pr\u00e9par\u00e9 l&#8217;environnement pour la phase finale de l&#8217;attaque. L&#8217;attaquant a fonctionn\u00e9 pour rendre toutes les donn\u00e9es de l&#8217;entreprise, enregistr\u00e9es sur les divers NAS, compl\u00e8tement illisibles et inaccessibles, ainsi que impermissibles pour restaurer, avec, avec, avec, avec, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une nouvelle restauration avec le but de forcer la victime \u00e0 payer la ran\u00e7on pour r\u00e9cup\u00e9rer ses donn\u00e9es. &#8220;<\/p>\n<p>Un autre aspect notable de l&#8217;attaque est l&#8217;utilisation de Pchunter pour arr\u00eater et contourner les solutions de s\u00e9curit\u00e9 des points finaux, ainsi que Filezilla pour l&#8217;exfiltration des donn\u00e9es.<\/p>\n<p>&#8220;Les origines du groupe RansomHub, de ses op\u00e9rations offensives et de ses caract\u00e9ristiques de chevauchement avec d&#8217;autres groupes confirment l&#8217;existence d&#8217;un \u00e9cosyst\u00e8me de cybercriminalit\u00e9 vif&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>&#8220;Cet environnement prosp\u00e8re sur le partage, la r\u00e9utilisation et le changement de marque des outils et des codes source, alimentant un march\u00e9 souterrain robuste o\u00f9 des victimes de haut niveau, des groupes inf\u00e2mes et des sommes importantes jouent des r\u00f4les centraux.&#8221;<\/p>\n<p>Le d\u00e9veloppement intervient alors que la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 a d\u00e9taill\u00e9 le fonctionnement interne d&#8217;un &#8220;formidable op\u00e9rateur RAAS&#8221; connu sous le nom de Lynx, en mettant en lumi\u00e8re leur flux de travail d&#8217;affiliation, leur arsenal de ransomware de plate-forme multiplateforme pour les environnements Windows, Linux et ESXi et des modes de chiffrement personnalisables.<\/p>\n<p>Une analyse des versions Windows et Linux du ransomware montre qu&#8217;il ressemble \u00e9troitement aux ransomwares incontournables, indiquant que les acteurs de la menace ont probablement acquis le code source de ce dernier.<\/p>\n<p>&#8220;Les affili\u00e9s sont incit\u00e9s \u00e0 une part de 80% du produit de la ran\u00e7on, refl\u00e9tant une strat\u00e9gie comp\u00e9titive et ax\u00e9e sur le recrutement&#8221;, il <a rel=\"noopener nofollow\" href=\"https:\/\/www.group-ib.com\/blog\/cat-s-out-of-the-bag-lynx-ransomware\/\" target=\"_blank\">dit<\/a>. &#8220;Lynx a r\u00e9cemment ajout\u00e9 plusieurs modes de cryptage:\u00ab rapide \u00bb,\u00ab m\u00e9dium \u00bb,\u00ab lent \u00bbet\u00ab entier \u00bb, donnant aux affili\u00e9s la libert\u00e9 d&#8217;ajuster le compromis entre la vitesse et la profondeur du cryptage des fichiers.\u00bb<\/p>\n<p>&#8220;Les postes de recrutement du groupe sur les forums souterrains mettent l&#8217;accent sur un processus de v\u00e9rification rigoureux pour les Pentesters et les \u00e9quipes d&#8217;intrusion qualifi\u00e9es, mettant en \u00e9vidence l&#8217;accent mis par Lynx sur la s\u00e9curit\u00e9 op\u00e9rationnelle et le contr\u00f4le de la qualit\u00e9. Ils offrent \u00e9galement des` `centres d&#8217;appels &#8221; pour harceler les victimes et des solutions de stockage avanc\u00e9es pour les affili\u00e9s qui r\u00e9alisent constamment les b\u00e9n\u00e9fices de la profit r\u00e9sultats.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1739554482_490_RansomHub-devient-le-premier-groupe-de-ransomware-de-2024-frappant.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1739554482_490_RansomHub-devient-le-premier-groupe-de-ransomware-de-2024-frappant.png\" alt=\"Top ransomware\" border=\"0\" data-original-height=\"335\" data-original-width=\"728\" title=\"Top ransomware\"\/><\/a><\/div>\n<p>Au cours des derni\u00e8res semaines, des attaques motiv\u00e9es financi\u00e8res ont \u00e9galement \u00e9t\u00e9 observ\u00e9es \u00e0 l&#8217;aide du malware de botnet Phorpiex (AKA Trik) propag\u00e9e via des e-mails de phishing pour livrer le ransomware de verrouillage.<\/p>\n<p>&#8220;Contrairement aux incidents de ransomware de verrouillage pass\u00e9s, les acteurs de la menace se sont appuy\u00e9s sur Phorpiex pour livrer et ex\u00e9cuter des ransomwares de verrouillage&#8221; <a rel=\"noopener nofollow\" href=\"https:\/\/www.cybereason.com\/blog\/threat-analysis-phorpiex-downloader\" target=\"_blank\">not\u00e9<\/a> dans une analyse. &#8220;Cette technique est unique car le d\u00e9ploiement des ransomwares se compose g\u00e9n\u00e9ralement d&#8217;op\u00e9rateurs humains menant l&#8217;attaque.&#8221;<\/p>\n<p>Un autre vecteur d&#8217;infection initial significatif concerne l&#8217;exploitation d&#8217;appareils VPN non corrig\u00e9es (par exemple, CVE-2021-20038) pour acc\u00e9der aux appareils et h\u00f4tes du r\u00e9seau interne et \u00e0 d\u00e9ployer finalement les ransomwares ABYSS Locker.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v2-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1738603713_19_PYPI-introduit-le-statut-darchives-pour-alerter-les-utilisateurs-sur.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Les attaques sont \u00e9galement caract\u00e9ris\u00e9es par l&#8217;utilisation d&#8217;outils de tunneling pour maintenir la persistance, ainsi que la mise \u00e0 profit d&#8217;apporter vos propres techniques de conducteur vuln\u00e9rable (BYOVD) pour d\u00e9sactiver les contr\u00f4les de protection des points de terminaison.<\/p>\n<p>&#8220;Apr\u00e8s avoir acc\u00e9d\u00e9 \u00e0 l&#8217;environnement et effectu\u00e9 une reconnaissance, ces outils de tunneling sont d\u00e9ploy\u00e9s strat\u00e9giquement sur des appareils r\u00e9seau critiques, y compris les h\u00f4tes ESXi, les h\u00f4tes Windows, les appareils VPN et les appareils de stockage joint (NAS)&#8221; <a rel=\"noopener nofollow\" href=\"https:\/\/www.sygnia.co\/blog\/abyss-locker-ransomware-attack-analysis\/\" target=\"_blank\">dit<\/a>.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1739554483_675_RansomHub-devient-le-premier-groupe-de-ransomware-de-2024-frappant.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1739554483_675_RansomHub-devient-le-premier-groupe-de-ransomware-de-2024-frappant.png\" alt=\"Top ransomware\" border=\"0\" data-original-height=\"432\" data-original-width=\"728\" title=\"Top ransomware\"\/><\/a><\/div>\n<p>&#8220;En ciblant ces appareils, les attaquants garantissent des canaux de communication robustes et fiables pour maintenir l&#8217;acc\u00e8s et orchestrer leurs activit\u00e9s malveillantes \u00e0 travers le r\u00e9seau compromis.&#8221;<\/p>\n<p>Le paysage des ransomwares &#8211; dirig\u00e9e par <a rel=\"noopener nofollow\" href=\"https:\/\/theravenfile.com\/2025\/02\/06\/babuk-ransomware-a-victim-of-indodax-hack\/\" target=\"_blank\">les acteurs de la menace nouvelle et ancienne<\/a> &#8211; continue de rester dans un \u00e9tat de flux, avec des attaques pivotant du cryptage traditionnel au vol de donn\u00e9es et \u00e0 l&#8217;extorsion, m\u00eame si les victimes refusent de plus en plus de payer, entra\u00eenant une baisse des paiements en 2024.<\/p>\n<p>&#8220;Des groupes comme RansomHub et Akira incitent d\u00e9sormais les donn\u00e9es vol\u00e9es avec de grandes r\u00e9compenses, ce qui rend ces tactiques assez lucratives&#8221;, entreprise de cybers\u00e9curit\u00e9 Huntress <a rel=\"noopener nofollow\" href=\"https:\/\/www.huntress.com\/blog\/huntress-2025-cyber-threat-report-proliferating-rats-evolving-ransomware-and-other-findings\" target=\"_blank\">dit<\/a>.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/ransomhub-becomes-2024s-top-ransomware.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les acteurs de la menace derri\u00e8re le sch\u00e9ma RansomHub Ransomware-as-a-Service (RAAS) ont \u00e9t\u00e9 observ\u00e9s en train de tirer parti des d\u00e9fauts de s\u00e9curit\u00e9 d\u00e9sormais r\u00e9gl\u00e9s dans Microsoft Active Directory et le protocole Netlogon pour d\u00e9g\u00e9n\u00e9rer les privil\u00e8ges et obtenir un acc\u00e8s non autoris\u00e9 au contr\u00f4leur de domaine d&#8217;un r\u00e9seau de victime dans le cadre des [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1539347,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,4168,79002,274264,4161,274263,6124,429,910,9682,13587,681,274267,4160,1056,12070,2497,242174,4392,238617,246491,4172,79016,4166,4164],"class_list":["post-1539346","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-dans","tag-devient","tag-entier","tag-frappant","tag-groupe","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-monde","tag-organisations","tag-premier","tag-ransomhub","tag-ransomware","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-the-hacker-news","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1539346","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1539346"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1539346\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1539347"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1539346"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1539346"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1539346"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}