{"id":1598296,"date":"2025-03-27T15:00:00","date_gmt":"2025-03-27T17:00:00","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-reutilisent-edrkillshifter-de-ransomhub-dans-les-attaques-de-medusa-bianlian-et-jouent\/"},"modified":"2025-03-27T15:00:05","modified_gmt":"2025-03-27T17:00:05","slug":"les-pirates-reutilisent-edrkillshifter-de-ransomhub-dans-les-attaques-de-medusa-bianlian-et-jouent","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-reutilisent-edrkillshifter-de-ransomhub-dans-les-attaques-de-medusa-bianlian-et-jouent\/","title":{"rendered":"Les pirates r\u00e9utilisent Edrkillshifter de RansomHub dans les attaques de Medusa, Bianlian et jouent"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">27 mars 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 des terminaux \/ ransomwares<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Les-pirates-reutilisent-Edrkillshifter-de-RansomHub-dans-les-attaques-de.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Une nouvelle analyse a r\u00e9v\u00e9l\u00e9 des liens entre les affili\u00e9s de RansomHub et d&#8217;autres groupes de ransomwares comme Medusa, Bianlian et Play.<\/p>\n<p>La connexion d\u00e9coule de l&#8217;utilisation d&#8217;un outil personnalis\u00e9 con\u00e7u pour d\u00e9sactiver la d\u00e9tection et la r\u00e9ponse des points de terminaison (EDR) sur des h\u00f4tes compromis, selon ESET. L&#8217;outil de mise \u00e0 mort EDR, surnomm\u00e9 Edrkillshifter, a \u00e9t\u00e9 document\u00e9 pour la premi\u00e8re fois utilis\u00e9 par les acteurs de RansomHub en ao\u00fbt 2024.<\/p>\n<p>Edrkillshifter atteint ses objectifs au moyen d&#8217;une tactique connue appel\u00e9e Bring Your Own Vulnerable Driver (BYOVD) qui implique d&#8217;utiliser un conducteur l\u00e9gitime mais vuln\u00e9rable pour mettre fin aux solutions de s\u00e9curit\u00e9 prot\u00e9geant les param\u00e8tres.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1740818990_705_Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>L&#8217;id\u00e9e avec l&#8217;utilisation de ces outils est d&#8217;assurer l&#8217;ex\u00e9cution fluide du cryptor ransomware sans qu&#8217;il soit signal\u00e9 par des solutions de s\u00e9curit\u00e9.<\/p>\n<p>&#8220;Au cours d&#8217;une intrusion, l&#8217;objectif de l&#8217;affili\u00e9 est d&#8217;obtenir des privil\u00e8ges administratifs administratifs&#8221;, les chercheurs de l&#8217;ESet Jakub Sou\u010dek et Jan Holman <a rel=\"noopener nofollow\" href=\"https:\/\/www.welivesecurity.com\/en\/eset-research\/shifting-sands-ransomhub-edrkillshifter\/\" target=\"_blank\">dit<\/a> Dans un rapport partag\u00e9 avec le Hacker News.<\/p>\n<p>&#8220;Les op\u00e9rateurs de ransomwares ont tendance \u00e0 ne pas faire de mises \u00e0 jour majeures de leurs encrypteurs trop souvent en raison du risque d&#8217;introduire un d\u00e9faut qui pourrait causer des probl\u00e8mes, endommageant finalement leur r\u00e9putation.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1743094799_655_Les-pirates-reutilisent-Edrkillshifter-de-RansomHub-dans-les-attaques-de.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1743094799_655_Les-pirates-reutilisent-Edrkillshifter-de-RansomHub-dans-les-attaques-de.png\" alt=\"Edrkillshifter de RansomHub\" border=\"0\" data-original-height=\"1500\" data-original-width=\"2913\" title=\"Edrkillshifter de RansomHub\"\/><\/a><\/div>\n<p>Ce qui est notable ici, c&#8217;est qu&#8217;un outil sur mesure d\u00e9velopp\u00e9 par les op\u00e9rateurs de RansomHub et offert \u00e0 ses affili\u00e9s &#8211; quelque chose d&#8217;un ph\u00e9nom\u00e8ne rare en soi &#8211; est utilis\u00e9 dans d&#8217;autres attaques de ransomware associ\u00e9es \u00e0 la M\u00e9duse, au Bianlian et au jeu.<\/p>\n<p>Cet aspect prend une importance particuli\u00e8re \u00e0 la lumi\u00e8re du fait que le jeu et le bianlian op\u00e8rent sous le mod\u00e8le RAAS ferm\u00e9, dans lequel les op\u00e9rateurs ne cherchent pas activement \u00e0 embaucher de nouveaux affili\u00e9s et que leurs partenariats sont bas\u00e9s sur une confiance mutuelle \u00e0 long terme.<\/p>\n<p>&#8220;Les membres de confiance de Play et de Bianlian collaborent avec des concurrents, m\u00eame des nouveaux \u00e9merg\u00e9s comme RansomHub, puis r\u00e9orientent l&#8217;outillage qu&#8217;ils re\u00e7oivent de ces rivaux dans leurs propres attaques&#8221;, a th\u00e9oris\u00e9 Eset. &#8220;Cela est particuli\u00e8rement int\u00e9ressant, car ces gangs ferm\u00e9s utilisent g\u00e9n\u00e9ralement un ensemble d&#8217;outils de base assez coh\u00e9rents pendant leurs intrusions.&#8221;<\/p>\n<p>On soup\u00e7onne que toutes ces attaques de ransomwares ont \u00e9t\u00e9 men\u00e9es par le m\u00eame acteur de menace, surnomm\u00e9 Quadswitcher, qui est probablement li\u00e9 au jeu le plus proche en raison des similitudes de Tradecraft g\u00e9n\u00e9ralement associ\u00e9es aux intrusions de jeu.<\/p>\n<p>Edrkillshifter a \u00e9galement \u00e9t\u00e9 observ\u00e9 utilis\u00e9 par un autre affili\u00e9 de ransomware individuel connu sous le nom de CosmicBeetle dans le cadre de trois diff\u00e9rentes attaques RansomHub et Fake Lockbit.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Le d\u00e9veloppement intervient au milieu d&#8217;une augmentation des attaques de ransomwares en utilisant <a rel=\"noopener nofollow\" href=\"https:\/\/www.loldrivers.io\/\" target=\"_blank\">Techniques BYOVD<\/a> pour d\u00e9ployer EDR Killers sur des syst\u00e8mes compromis. L&#8217;ann\u00e9e derni\u00e8re, le gang de ransomware connu sous le nom d&#8217;Embargo a \u00e9t\u00e9 d\u00e9couvert \u00e0 l&#8217;aide d&#8217;un programme appel\u00e9 MS4Killer pour neutraliser les logiciels de s\u00e9curit\u00e9. Pas plus tard que ce mois-ci, l&#8217;\u00e9quipe de ransomware de Medusa a \u00e9t\u00e9 li\u00e9e \u00e0 un conducteur malveillant personnalis\u00e9 nomm\u00e9 Abyssworker.<\/p>\n<p>&#8220;Les acteurs de la menace ont besoin de privil\u00e8ges administratifs pour d\u00e9ployer un tueur d&#8217;Edr, donc id\u00e9alement, leur pr\u00e9sence doit \u00eatre d\u00e9tect\u00e9e et att\u00e9nu\u00e9e avant d&#8217;atteindre ce point&#8221;, a d\u00e9clar\u00e9 Eset.<\/p>\n<p>&#8220;Les utilisateurs, en particulier dans les environnements d&#8217;entreprise, devraient garantir que la d\u00e9tection d&#8217;applications potentiellement dangereuses est activ\u00e9e. Cela peut emp\u00eacher l&#8217;installation de conducteurs vuln\u00e9rables.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/hackers-repurpose-ransomhubs.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80227 mars 2025\ue804Ravie LakshmananS\u00e9curit\u00e9 des terminaux \/ ransomwares Une nouvelle analyse a r\u00e9v\u00e9l\u00e9 des liens entre les affili\u00e9s de RansomHub et d&#8217;autres groupes de ransomwares comme Medusa, Bianlian et Play. La connexion d\u00e9coule de l&#8217;utilisation d&#8217;un outil personnalis\u00e9 con\u00e7u pour d\u00e9sactiver la d\u00e9tection et la r\u00e9ponse des points de terminaison (EDR) sur des h\u00f4tes compromis, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1598297,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,8074,105227,4168,79002,274264,4161,274263,6124,429,290160,12599,65,274267,99502,4160,4394,242174,290159,238617,246491,4172,79016,4166,4164],"class_list":["post-1598296","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-attaques","tag-bianlian","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-dans","tag-edrkillshifter","tag-jouent","tag-les","tag-malware-ransomware","tag-medusa","tag-mises-a-jour-de-la-cybersecurite","tag-pirates","tag-ransomhub","tag-reutilisent","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-the-hacker-news","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1598296","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1598296"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1598296\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1598297"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1598296"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1598296"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1598296"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}