{"id":1569557,"date":"2025-03-07T14:08:30","date_gmt":"2025-03-07T16:08:30","guid":{"rendered":"https:\/\/teknomers.com\/fr\/fin7-fin8-et-dautres-utilisent-le-chargeur-ragnar-pour-des-operations-dacces-persistant-et-de-ransomware\/"},"modified":"2025-03-07T14:08:35","modified_gmt":"2025-03-07T16:08:35","slug":"fin7-fin8-et-dautres-utilisent-le-chargeur-ragnar-pour-des-operations-dacces-persistant-et-de-ransomware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/fin7-fin8-et-dautres-utilisent-le-chargeur-ragnar-pour-des-operations-dacces-persistant-et-de-ransomware\/","title":{"rendered":"Fin7, Fin8 et d&#8217;autres utilisent le chargeur Ragnar pour des op\u00e9rations d&#8217;acc\u00e8s persistant et de ransomware"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">07 mars 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Fin7-Fin8-et-dautres-utilisent-le-chargeur-Ragnar-pour-des.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Les chasseurs de menaces ont <a rel=\"noopener nofollow\" href=\"https:\/\/catalyst.prodaft.com\/public\/report\/ragnar-loader\/overview\" target=\"_blank\">\u00e9clairer<\/a> Sur une &#8220;bo\u00eete \u00e0 outils de logiciels malveillants sophistiqu\u00e9e et \u00e9volutive&#8221; appel\u00e9e <b>Chargeur de ragnar<\/b> Cela est utilis\u00e9 par divers groupes de cybercriminalit\u00e9 et de ransomware comme Ragnar Locker (alias Montrous Mantis), Fin7, Fin8, et Mantis impitoyables (ex-Revil).<\/p>\n<p>&#8220;Ragnar Loader joue un r\u00f4le cl\u00e9 dans le maintien de l&#8217;acc\u00e8s \u00e0 des syst\u00e8mes compromis, aidant les attaquants \u00e0 rester dans des r\u00e9seaux pour des op\u00e9rations \u00e0 long terme&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 suisse Prafaft dans un communiqu\u00e9 partag\u00e9 avec le Hacker News.<\/p>\n<p>&#8220;Bien qu&#8217;il soit li\u00e9 au groupe de casiers Ragnar, il n&#8217;est pas clair s&#8217;ils le poss\u00e8dent ou le louent simplement \u00e0 d&#8217;autres. Ce que nous savons, c&#8217;est que ses d\u00e9veloppeurs ajoutent constamment de nouvelles fonctionnalit\u00e9s, ce qui le rend plus modulaire et plus difficile \u00e0 d\u00e9tecter.&#8221;<\/p>\n<p>Ragnar Loader, \u00e9galement appel\u00e9 Sardonic, a \u00e9t\u00e9 document\u00e9 pour la premi\u00e8re fois par Bitdefender en ao\u00fbt 2021 dans le cadre d&#8217;une attaque infructueuse men\u00e9e par FIN8 visant une institution financi\u00e8re sans nom situ\u00e9e aux \u00c9tats-Unis, elle aurait \u00e9t\u00e9 utilis\u00e9e depuis 2020.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1740818990_705_Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Puis, en juillet 2023, Symantec, appartenant \u00e0 Broadcom, a r\u00e9v\u00e9l\u00e9 l&#8217;utilisation par FIN8 d&#8217;une version mise \u00e0 jour de la porte d\u00e9rob\u00e9e pour livrer le ransomware BlackCat maintenant disparu.<\/p>\n<p>La fonctionnalit\u00e9 principale du chargeur du ragnar est sa capacit\u00e9 \u00e0 \u00e9tablir des fonds \u00e0 long terme dans des environnements cibl\u00e9s, tout en utilisant un arsenal de techniques pour contourner la d\u00e9tection et assurer une r\u00e9silience op\u00e9rationnelle.<\/p>\n<p>&#8220;Le logiciel malveillant utilise des charges utiles bas\u00e9es sur PowerShell pour l&#8217;ex\u00e9cution, int\u00e8gre de solides m\u00e9thodes de cryptage et de codage (y compris RC4 et Base64) pour cacher ses op\u00e9rations, et utilise des strat\u00e9gies d&#8217;injection de processus sophistiqu\u00e9es pour \u00e9tablir et maintenir un contr\u00f4le furtif sur les syst\u00e8mes compromis&#8221;, a not\u00e9 ProDaft.<\/p>\n<p>&#8220;Ces fonctionnalit\u00e9s am\u00e9liorent collectivement sa capacit\u00e9 \u00e0 \u00e9chapper \u00e0 la d\u00e9tection et \u00e0 persister dans des environnements cibl\u00e9s.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1741363709_73_Fin7-Fin8-et-dautres-utilisent-le-chargeur-Ragnar-pour-des.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1741363709_73_Fin7-Fin8-et-dautres-utilisent-le-chargeur-Ragnar-pour-des.png\" alt=\"Op\u00e9rations de ransomware\" border=\"0\" data-original-height=\"583\" data-original-width=\"888\" title=\"Op\u00e9rations de ransomware\"\/><\/a><\/div>\n<p>Le malware est offert aux affili\u00e9s sous la forme d&#8217;un package de fichiers d&#8217;archives contenant plusieurs composants pour faciliter le shell invers\u00e9, l&#8217;escalade des privil\u00e8ges locaux et l&#8217;acc\u00e8s \u00e0 distance de bureau. Il est \u00e9galement con\u00e7u pour \u00e9tablir des communications avec l&#8217;acteur de menace, leur permettant de contr\u00f4ler \u00e0 distance le syst\u00e8me infect\u00e9 via un panneau de commandement et de contr\u00f4le (C2).<\/p>\n<p>Typiquement ex\u00e9cut\u00e9 sur les syst\u00e8mes de victimes \u00e0 l&#8217;aide de PowerShell, le chargeur Ragnar int\u00e8gre une multitude de techniques d&#8217;anti-analyse pour r\u00e9sister \u00e0 la d\u00e9tection et \u00e0 une logique d&#8217;\u00e9coulement de contr\u00f4le obscure.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>En outre, il dispose de la possibilit\u00e9 de mener diverses op\u00e9rations de porte d\u00e9rob\u00e9e en ex\u00e9cutant des plugins DLL et Shellcode, ainsi qu&#8217;en lisant et en exfiltrant le contenu des fichiers arbitraires. Pour activer le mouvement lat\u00e9ral dans un r\u00e9seau, il utilise un autre fichier pivotant bas\u00e9 sur PowerShell.<\/p>\n<p>Un autre composant critique est un fichier ELF ex\u00e9cutable Linux nomm\u00e9 BC con\u00e7u pour faciliter les connexions distantes, permettant \u00e0 l&#8217;adversaire de lancer un et d&#8217;ex\u00e9cuter des instructions de ligne de commande directement sur le syst\u00e8me compromis.<\/p>\n<p>&#8220;Il utilise des techniques avanc\u00e9es d&#8217;obscurcissement, de chiffrement et d&#8217;anti-analyse, notamment des charges utiles bas\u00e9es sur PowerShell, des routines de d\u00e9cryptage RC4 et Base64, une injection de processus dynamique, une manipulation de jetons et des capacit\u00e9s de mouvement lat\u00e9ral&#8221;, a d\u00e9clar\u00e9 Prodaft. &#8220;Ces caract\u00e9ristiques illustrent la complexit\u00e9 et l&#8217;adaptabilit\u00e9 croissantes des \u00e9cosyst\u00e8mes de ransomware modernes.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/fin7-fin8-and-others-use-ragnar-loader.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80207 mars 2025\ue804Ravie Lakshmanan Les chasseurs de menaces ont \u00e9clairer Sur une &#8220;bo\u00eete \u00e0 outils de logiciels malveillants sophistiqu\u00e9e et \u00e9volutive&#8221; appel\u00e9e Chargeur de ragnar Cela est utilis\u00e9 par divers groupes de cybercriminalit\u00e9 et de ransomware comme Ragnar Locker (alias Montrous Mantis), Fin7, Fin8, et Mantis impitoyables (ex-Revil). &#8220;Ragnar Loader joue un r\u00f4le cl\u00e9 dans [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1569558,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,38854,4168,79002,274264,4161,274263,6124,7192,4114,133,43570,174571,274267,4160,4587,21977,185,50173,4392,238617,246491,4172,79016,10784,4166,4164],"class_list":["post-1569557","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-chargeur","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-dacces","tag-dautres","tag-des","tag-fin7","tag-fin8","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-operations","tag-persistant","tag-pour","tag-ragnar","tag-ransomware","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-the-hacker-news","tag-utilisent","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1569557","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1569557"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1569557\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1569558"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1569557"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1569557"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1569557"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}