{"id":199065,"date":"2022-06-13T07:35:03","date_gmt":"2022-06-13T09:35:03","guid":{"rendered":"https:\/\/teknomers.com\/fr\/hello-xd-ransomware-installation-dune-porte-derobee-sur-des-systemes-windows-et-linux-cibles\/"},"modified":"2022-06-13T07:35:04","modified_gmt":"2022-06-13T09:35:04","slug":"hello-xd-ransomware-installation-dune-porte-derobee-sur-des-systemes-windows-et-linux-cibles","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/hello-xd-ransomware-installation-dune-porte-derobee-sur-des-systemes-windows-et-linux-cibles\/","title":{"rendered":"Hello XD Ransomware Installation d&#8217;une porte d\u00e9rob\u00e9e sur des syst\u00e8mes Windows et Linux cibl\u00e9s"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Les syst\u00e8mes Windows et Linux sont cibl\u00e9s par une variante de ransomware appel\u00e9e HelloXD, les infections impliquant \u00e9galement le d\u00e9ploiement d&#8217;une porte d\u00e9rob\u00e9e pour faciliter l&#8217;acc\u00e8s \u00e0 distance persistant aux h\u00f4tes infect\u00e9s.<\/p>\n<p>&#8220;Contrairement \u00e0 d&#8217;autres groupes de ransomwares, cette famille de ransomwares n&#8217;a pas de site de fuite actif\u00a0; \u00e0 la place, elle pr\u00e9f\u00e8re diriger la victime touch\u00e9e vers des n\u00e9gociations via <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Tox_(protocol)\" target=\"_blank\">Chat toxicomane<\/a> et les instances de messagerie bas\u00e9es sur l&#8217;oignon \u00bb, Daniel Bunce et Doel Santos, chercheurs en s\u00e9curit\u00e9 de l&#8217;unit\u00e9 42 de Palo Alto Networks, <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/helloxd-ransomware\/\" target=\"_blank\">a dit<\/a> dans une nouvelle r\u00e9daction.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/malwrhunterteam\/status\/1531359275553107971\" target=\"_blank\">BonjourXD<\/a> a fait surface dans la nature le 30 novembre 2021 et est bas\u00e9 sur le code divulgu\u00e9 de Babuk, qui \u00e9tait <a rel=\"nofollow noopener\" href=\"https:\/\/intel471.com\/blog\/malware-source-code-leak-history\" target=\"_blank\">publi\u00e9<\/a> sur un forum russophone sur la cybercriminalit\u00e9 en septembre 2021.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/backup-jira\" target=\"_blank\" title=\"DevOps backup\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEjaBbYTALewJvxPx8cnzv0FMFvygJ4ym5US2q-Uxw_N9KSMl8z0Z7pPOeXOEHgnJ9u00oLe7QZR55XMcwv60hQ_dIuT9MTSCTeu-C3cUe-RgpBF3_hTmoXh7ESgmtUaVloM9dS5jXLtkOLVeYSBrepZsVYuf3lxIAlCR4TsZhB-hFm_HGHwjkDsk9teXQ\/s1600\/Jira-ads.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>La famille des ran\u00e7ongiciels ne fait pas exception \u00e0 la norme dans la mesure o\u00f9 les op\u00e9rateurs suivent l&#8217;approche \u00e9prouv\u00e9e de <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/vinfo\/us\/security\/news\/cybercrime-and-digital-threats\/ransomware-double-extortion-and-beyond-revil-clop-and-conti\" target=\"_blank\">double extorsion<\/a> d&#8217;exiger des paiements en crypto-monnaie en exfiltrant les donn\u00e9es sensibles d&#8217;une victime en plus de les chiffrer et de menacer de rendre publiques les informations.<\/p>\n<p>L&#8217;implant en question, nomm\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.microbackdoor\" target=\"_blank\">Micro porte d\u00e9rob\u00e9e<\/a>est un logiciel malveillant open source utilis\u00e9 pour les communications de commande et de contr\u00f4le (C2), avec son d\u00e9veloppeur Dmytro Oleksiuk <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/Cr4sh\/MicroBackdoor\" target=\"_blank\">appel<\/a> c&#8217;est &#8220;une chose vraiment minimaliste avec toutes les fonctionnalit\u00e9s de base en moins de 5 000 lignes de code&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Bonjour XD Ransomware\" border=\"0\" data-original-height=\"593\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/06\/1655112903_375_Hello-XD-Ransomware-Installation-dune-porte-derobee-sur-des-systemes.jpg\" title=\"Bonjour XD Ransomware\" \/><\/div>\n<p>Notamment, diff\u00e9rentes variantes de l&#8217;implant ont \u00e9t\u00e9 adopt\u00e9es par l&#8217;acteur mena\u00e7ant bi\u00e9lorusse surnomm\u00e9 Ghostwriter (alias UNC1151) dans son <a rel=\"nofollow noopener\" href=\"https:\/\/inquest.net\/blog\/2022\/04\/07\/ukraine-cyberwar-overview\" target=\"_blank\">cyber-op\u00e9rations<\/a> contre les organisations \u00e9tatiques ukrainiennes en mars 2022.<\/p>\n<p>Les fonctionnalit\u00e9s de MicroBackdoor permettent \u00e0 un attaquant de parcourir le syst\u00e8me de fichiers, de charger et de t\u00e9l\u00e9charger des fichiers, d&#8217;ex\u00e9cuter des commandes et d&#8217;effacer les preuves de sa pr\u00e9sence sur les machines compromises.  On soup\u00e7onne que le d\u00e9ploiement de la porte d\u00e9rob\u00e9e est effectu\u00e9 pour &#8220;surveiller la progression du ransomware&#8221;. <\/p>\n<p>L&#8217;unit\u00e9 42 a d\u00e9clar\u00e9 avoir li\u00e9 le d\u00e9veloppeur russe probable derri\u00e8re HelloXD &#8211; qui utilise les alias en ligne x4k, L4ckyguy, unKn0wn, unk0w, _unkn0wn et x4kme &#8211; \u00e0 d&#8217;autres activit\u00e9s malveillantes telles que la vente d&#8217;exploits de preuve de concept (PoC) et Kali personnalis\u00e9 Distributions Linux en reconstituant le parcours num\u00e9rique de l&#8217;acteur.<\/p>\n<p>&#8220;x4k a une pr\u00e9sence en ligne tr\u00e8s solide, ce qui nous a permis de d\u00e9couvrir une grande partie de son activit\u00e9 au cours de ces deux derni\u00e8res ann\u00e9es&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;Cet acteur de la menace n&#8217;a pas fait grand-chose pour cacher les activit\u00e9s malveillantes et va probablement continuer ce comportement.&#8221;<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Les r\u00e9sultats proviennent d&#8217;une nouvelle \u00e9tude d&#8217;IBM X-Force <a rel=\"nofollow noopener\" href=\"https:\/\/securityintelligence.com\/posts\/analysis-of-ransomware\/\" target=\"_blank\">r\u00e9v\u00e9l\u00e9<\/a> que la dur\u00e9e moyenne d&#8217;une attaque de ransomware d&#8217;entreprise &#8211; c&#8217;est-\u00e0-dire le temps entre l&#8217;acc\u00e8s initial et le d\u00e9ploiement du ransomware &#8211; a r\u00e9duit de 94,34 % entre 2019 et 2021, passant de plus de deux mois \u00e0 seulement 3,85 jours.<\/p>\n<p>Les tendances \u00e0 la vitesse et \u00e0 l&#8217;efficacit\u00e9 accrues de l&#8217;\u00e9cosyst\u00e8me des ran\u00e7ongiciels en tant que service (RaaS) ont \u00e9t\u00e9 attribu\u00e9es au r\u00f4le central jou\u00e9 par les courtiers d&#8217;acc\u00e8s initiaux (IAB) pour obtenir l&#8217;acc\u00e8s aux r\u00e9seaux des victimes, puis vendre l&#8217;acc\u00e8s aux affili\u00e9s, qui, \u00e0 leur tour, abuser de la prise de pied pour d\u00e9ployer des charges utiles de ransomware.<\/p>\n<p>&#8220;L&#8217;achat d&#8217;un acc\u00e8s peut r\u00e9duire consid\u00e9rablement le temps n\u00e9cessaire aux op\u00e9rateurs de ransomwares pour mener une attaque en permettant la reconnaissance des syst\u00e8mes et l&#8217;identification des donn\u00e9es cl\u00e9s plus t\u00f4t et plus facilement&#8221;, Intel 471 <a rel=\"nofollow noopener\" href=\"https:\/\/intel471.com\/blog\/access-brokers-ransomware-relationship-growing\" target=\"_blank\">a dit<\/a> dans un rapport soulignant les relations de travail \u00e9troites entre les IAB et les \u00e9quipes de ransomwares.<\/p>\n<p>&#8220;De plus, \u00e0 mesure que les relations se renforcent, les groupes de ran\u00e7ongiciels peuvent identifier une victime qu&#8217;ils souhaitent cibler et le marchand d&#8217;acc\u00e8s peut leur fournir l&#8217;acc\u00e8s une fois qu&#8217;il est disponible.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/06\/hello-xd-ransomware-installing-backdoor.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les syst\u00e8mes Windows et Linux sont cibl\u00e9s par une variante de ransomware appel\u00e9e HelloXD, les infections impliquant \u00e9galement le d\u00e9ploiement d&#8217;une porte d\u00e9rob\u00e9e pour faciliter l&#8217;acc\u00e8s \u00e0 distance persistant aux h\u00f4tes infect\u00e9s. &#8220;Contrairement \u00e0 d&#8217;autres groupes de ransomwares, cette famille de ransomwares n&#8217;a pas de site de fuite actif\u00a0; \u00e0 la place, elle pr\u00e9f\u00e8re diriger [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":199066,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[9589,4168,4158,4165,4161,7084,133,1326,29730,4157,4159,4171,4170,18088,4167,4160,4163,4162,2742,4392,4172,4169,60,5046,4166,4164,45020],"class_list":["post-199065","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-cibles","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-derobee","tag-des","tag-dune","tag-installation","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-linux","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-porte","tag-ransomware","tag-securite-informatique","tag-securite-internet","tag-sur","tag-systemes","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-windows"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/199065","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=199065"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/199065\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/199066"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=199065"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=199065"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=199065"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}