{"id":188393,"date":"2022-06-07T13:15:07","date_gmt":"2022-06-07T15:15:07","guid":{"rendered":"https:\/\/teknomers.com\/fr\/evil-corp-cybercrime-group-passe-au-rancongiciel-lockbit-pour-echapper-aux-sanctions\/"},"modified":"2022-06-07T13:15:08","modified_gmt":"2022-06-07T15:15:08","slug":"evil-corp-cybercrime-group-passe-au-rancongiciel-lockbit-pour-echapper-aux-sanctions","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/evil-corp-cybercrime-group-passe-au-rancongiciel-lockbit-pour-echapper-aux-sanctions\/","title":{"rendered":"Evil Corp Cybercrime Group passe au ran\u00e7ongiciel LockBit pour \u00e9chapper aux sanctions"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Le cluster de menaces baptis\u00e9 UNC2165, qui partage de nombreux chevauchements avec un groupe de cybercriminalit\u00e9 bas\u00e9 en Russie connu sous le nom d&#8217;Evil Corp, a \u00e9t\u00e9 li\u00e9 \u00e0 plusieurs intrusions de ran\u00e7ongiciels LockBit dans le but de contourner les sanctions impos\u00e9es par le Tr\u00e9sor am\u00e9ricain en d\u00e9cembre 2019.<\/p>\n<p>&#8220;Ces acteurs ont d\u00e9laiss\u00e9 l&#8217;utilisation de variantes exclusives de ransomware pour LockBit &#8211; un ransomware en tant que service (RaaS) bien connu &#8211; dans leurs op\u00e9rations, susceptibles d&#8217;entraver les efforts d&#8217;attribution afin d&#8217;\u00e9chapper aux sanctions&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de renseignement sur les menaces Mandiant. <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/unc2165-shifts-to-evade-sanctions\" target=\"_blank\">c&#8217;est not\u00e9<\/a> dans une analyse la semaine derni\u00e8re.<\/p>\n<p>Actif depuis 2019, UNC2165 est connu pour obtenir un acc\u00e8s initial aux r\u00e9seaux des victimes via des informations d&#8217;identification vol\u00e9es et un logiciel malveillant de t\u00e9l\u00e9chargement bas\u00e9 sur JavaScript appel\u00e9 FakeUpdates (alias SocGholish), en l&#8217;utilisant pour d\u00e9ployer pr\u00e9c\u00e9demment le ran\u00e7ongiciel Hades.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/backup-github\" target=\"_blank\" title=\"DevOps backup\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/Arret-de-loperation-Conti-Ransomware-apres-la-division-en-groupes.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Hades est le travail d&#8217;un groupe de piratage financi\u00e8rement motiv\u00e9 nomm\u00e9 Evil Corp, qui est \u00e9galement appel\u00e9 par les surnoms Gold Drake et Indrik Spider et a \u00e9t\u00e9 attribu\u00e9 au tristement c\u00e9l\u00e8bre cheval de Troie Dridex (alias Bugat) ainsi qu&#8217;\u00e0 d&#8217;autres souches de ran\u00e7ongiciels telles que BitPaymer, DoppelPaymer , et WastedLocker au cours des cinq derni\u00e8res ann\u00e9es.<\/p>\n<p>Le pivot de l&#8217;UNC2165 d&#8217;Had\u00e8s \u00e0 LockBit en tant que tactique d&#8217;\u00e9vitement des sanctions se serait produit au d\u00e9but de 2021.<\/p>\n<p>Fait int\u00e9ressant, FakeUpdates a \u00e9galement, dans le pass\u00e9, servi de vecteur d&#8217;infection initial pour la distribution de Dridex qui a ensuite \u00e9t\u00e9 utilis\u00e9 comme conduit pour d\u00e9poser BitPaymer et DoppelPaymer sur des syst\u00e8mes compromis.<\/p>\n<p>Mandiant a d\u00e9clar\u00e9 avoir not\u00e9 d&#8217;autres similitudes entre UNC2165 et une activit\u00e9 de cyberespionnage li\u00e9e \u00e0 Evil Corp suivie par la soci\u00e9t\u00e9 suisse de cybers\u00e9curit\u00e9 PRODAFT sous le nom <a rel=\"nofollow noopener\" href=\"https:\/\/www.prodaft.com\/resource\/detail\/silverfish-global-cyber-espionage-campaign-case-report\" target=\"_blank\">Poisson d&#8217;argent<\/a> destin\u00e9 aux entit\u00e9s gouvernementales et aux entreprises du Fortune 500 dans l&#8217;UE et aux \u00c9tats-Unis<\/p>\n<p>Une compromission initiale r\u00e9ussie est suivie d&#8217;une s\u00e9rie d&#8217;actions dans le cadre du cycle de vie de l&#8217;attaque, y compris l&#8217;\u00e9l\u00e9vation des privil\u00e8ges, la reconnaissance interne, le mouvement lat\u00e9ral et le maintien d&#8217;un acc\u00e8s \u00e0 distance \u00e0 long terme, avant de livrer les charges utiles du ransomware.<\/p>\n<p>Les sanctions \u00e9tant utilis\u00e9es comme moyen de freiner les attaques de ransomwares, emp\u00eachant \u00e0 leur tour les victimes de n\u00e9gocier avec les acteurs de la menace, l&#8217;ajout d&#8217;un groupe de ransomwares \u00e0 une liste de sanctions &#8211; sans nommer les individus derri\u00e8re lui &#8211; a \u00e9galement \u00e9t\u00e9 compliqu\u00e9 par le fait que les syndicats de cybercriminels souvent ont tendance \u00e0 fermer, \u00e0 se regrouper et \u00e0 se rebaptiser sous un nom diff\u00e9rent pour contourner les forces de l&#8217;ordre.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>&#8220;L&#8217;adoption d&#8217;un ransomware existant est une \u00e9volution naturelle pour UNC2165 pour tenter de masquer leur affiliation avec Evil Corp&#8221;, a d\u00e9clar\u00e9 Mandiant, tout en garantissant que les sanctions ne sont &#8220;pas un facteur limitant pour recevoir des paiements des victimes&#8221;.<\/p>\n<p>&#8220;L&#8217;utilisation de ce RaaS permettrait \u00e0 UNC2165 de se fondre dans d&#8217;autres affili\u00e9s, a ajout\u00e9 la soci\u00e9t\u00e9, d\u00e9clarant qu'&#8221;il est plausible que les acteurs derri\u00e8re les op\u00e9rations UNC2165 continueront \u00e0 prendre des mesures suppl\u00e9mentaires pour se distancier du nom Evil Corp&#8221;.<\/p>\n<p>Les conclusions de Mandiant, qui est en cours d&#8217;acquisition par Google, sont particuli\u00e8rement importantes car le gang de ran\u00e7ongiciels LockBit a depuis all\u00e9gu\u00e9 qu&#8217;il avait p\u00e9n\u00e9tr\u00e9 dans le r\u00e9seau de l&#8217;entreprise et vol\u00e9 des donn\u00e9es sensibles.<\/p>\n<p>Le groupe, au-del\u00e0 de la menace de publier &#8220;toutes les donn\u00e9es disponibles&#8221; sur son portail de fuite de donn\u00e9es, n&#8217;a pas pr\u00e9cis\u00e9 la nature exacte du contenu de ces fichiers.  Cependant, Mandiant a d\u00e9clar\u00e9 qu&#8217;il n&#8217;y avait aucune preuve \u00e0 l&#8217;appui de cette affirmation.<\/p>\n<p>&#8220;Mandiant a examin\u00e9 les donn\u00e9es divulgu\u00e9es dans la version initiale de LockBit&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 \u00e0 The Hacker News.  &#8220;Sur la base des donn\u00e9es qui ont \u00e9t\u00e9 publi\u00e9es, rien n&#8217;indique que les donn\u00e9es de Mandiant aient \u00e9t\u00e9 divulgu\u00e9es, mais l&#8217;acteur semble plut\u00f4t essayer de r\u00e9futer les recherches de Mandiant du 2 juin 2022 sur UNC2165 et LockBit.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/06\/evil-corp-cybercrime-group-shifts-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Le cluster de menaces baptis\u00e9 UNC2165, qui partage de nombreux chevauchements avec un groupe de cybercriminalit\u00e9 bas\u00e9 en Russie connu sous le nom d&#8217;Evil Corp, a \u00e9t\u00e9 li\u00e9 \u00e0 plusieurs intrusions de ran\u00e7ongiciels LockBit dans le but de contourner les sanctions impos\u00e9es par le Tr\u00e9sor am\u00e9ricain en d\u00e9cembre 2019. &#8220;Ces acteurs ont d\u00e9laiss\u00e9 l&#8217;utilisation de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":188394,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[507,4168,36224,4158,4165,4161,75286,21314,45862,4555,4157,4159,4171,4170,75287,4167,4160,4163,4162,769,185,56078,840,4172,4169,4166,4164],"class_list":["post-188393","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-aux","tag-comment-pirater","tag-corp","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cybercrime","tag-echapper","tag-evil","tag-group","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lockbit","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-passe","tag-pour","tag-rancongiciel","tag-sanctions","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/188393","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=188393"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/188393\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/188394"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=188393"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=188393"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=188393"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}