{"id":239788,"date":"2022-07-05T05:09:22","date_gmt":"2022-07-05T07:09:22","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-chercheurs-partagent-des-techniques-pour-decouvrir-des-sites-de-ransomware-anonymises-sur-le-dark-web\/"},"modified":"2022-07-05T05:09:23","modified_gmt":"2022-07-05T07:09:23","slug":"des-chercheurs-partagent-des-techniques-pour-decouvrir-des-sites-de-ransomware-anonymises-sur-le-dark-web","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-chercheurs-partagent-des-techniques-pour-decouvrir-des-sites-de-ransomware-anonymises-sur-le-dark-web\/","title":{"rendered":"Des chercheurs partagent des techniques pour d\u00e9couvrir des sites de ransomware anonymis\u00e9s sur le dark web"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9taill\u00e9 les diff\u00e9rentes mesures que les acteurs des ran\u00e7ongiciels ont prises pour masquer leur v\u00e9ritable identit\u00e9 en ligne ainsi que l&#8217;emplacement d&#8217;h\u00e9bergement de leur infrastructure de serveur Web.<\/p>\n<p>&#8220;La plupart des op\u00e9rateurs de ransomwares utilisent des h\u00e9bergeurs en dehors de leur pays d&#8217;origine (comme la Su\u00e8de, l&#8217;Allemagne et Singapour) pour h\u00e9berger leurs sites d&#8217;op\u00e9rations de ransomwares&#8221;, a d\u00e9clar\u00e9 Paul Eubanks, chercheur chez Cisco Talos. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/2022\/06\/de-anonymizing-ransomware-domains-on.html\" target=\"_blank\">a dit<\/a>.  &#8220;Ils utilisent des points de saut VPS comme proxy pour masquer leur v\u00e9ritable emplacement lorsqu&#8217;ils se connectent \u00e0 leur infrastructure Web de ransomware pour des t\u00e2ches d&#8217;administration \u00e0 distance.&#8221;<\/p>\n<p>L&#8217;utilisation du r\u00e9seau TOR et des services d&#8217;enregistrement proxy DNS pour fournir une couche suppl\u00e9mentaire d&#8217;anonymat pour leurs op\u00e9rations ill\u00e9gales est \u00e9galement importante.<\/p>\n<p>Mais en profitant des faux pas de s\u00e9curit\u00e9 op\u00e9rationnelle des acteurs de la menace et d&#8217;autres techniques, la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 a r\u00e9v\u00e9l\u00e9 la semaine derni\u00e8re qu&#8217;elle \u00e9tait en mesure d&#8217;identifier les services cach\u00e9s TOR h\u00e9berg\u00e9s sur des adresses IP publiques, dont certaines sont des infrastructures jusque-l\u00e0 inconnues associ\u00e9es \u00e0 <a rel=\"nofollow noopener\" href=\"https:\/\/blog.cyble.com\/2022\/05\/06\/rebranded-babuk-ransomware-in-action-darkangels-ransomware-performs-targeted-attack\/\" target=\"_blank\">Anges noirs<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.snatch\" target=\"_blank\">Arracher<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/www.cybereason.com\/blog\/cybereason-vs.-quantum-locker-ransomware\" target=\"_blank\">Quantum<\/a>et <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.nokoyawa\" target=\"_blank\">Nokoyawa<\/a> groupes de ran\u00e7ongiciels.<\/p>\n<p>Alors que les groupes de ran\u00e7ongiciels sont connus pour s&#8217;appuyer sur le dark web pour dissimuler leurs activit\u00e9s illicites allant de la fuite de donn\u00e9es vol\u00e9es \u00e0 la n\u00e9gociation de paiements avec les victimes, Talos a r\u00e9v\u00e9l\u00e9 qu&#8217;il \u00e9tait en mesure d&#8217;identifier &#8220;des adresses IP publiques h\u00e9bergeant la m\u00eame infrastructure d&#8217;acteur de menace que celles sur le dark&#8221;. la toile.&#8221;<\/p>\n<p>&#8220;Les m\u00e9thodes que nous avons utilis\u00e9es pour identifier les IP Internet publiques impliquaient de faire correspondre les acteurs de la menace&#8221; [self-signed] <a rel=\"nofollow noopener\" href=\"https:\/\/www.digicert.com\/tls-ssl\/tls-ssl-certificates\" target=\"_blank\">Certificat TLS<\/a> les num\u00e9ros de s\u00e9rie et les \u00e9l\u00e9ments de page avec ceux index\u00e9s sur l&#8217;Internet public \u00bb, a d\u00e9clar\u00e9 Eubanks.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Sites de ransomware anonymis\u00e9s sur le Dark Web\" border=\"0\" data-original-height=\"700\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1657004962_974_Des-chercheurs-partagent-des-techniques-pour-decouvrir-des-sites-de.jpg\" title=\"Sites de ransomware anonymis\u00e9s sur le Dark Web\" \/><\/div>\n<p>Outre la correspondance des certificats TLS, une deuxi\u00e8me m\u00e9thode utilis\u00e9e pour d\u00e9couvrir les infrastructures Web claires des adversaires consistait \u00e0 v\u00e9rifier les favicons associ\u00e9s aux sites Web darknet par rapport \u00e0 l&#8217;Internet public \u00e0 l&#8217;aide de robots d&#8217;exploration Web comme Shodan.<\/p>\n<p>Dans le cas de <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/nokoyawa-variant-catching-up\" target=\"_blank\">Nokoyawa<\/a>&#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/help.ubuntu.com\/community\/LinuxLogFiles\" target=\"_blank\">\/var\/log\/auth.log<\/a>&#8221; fichier utilis\u00e9 pour capturer les connexions des utilisateurs.<\/p>\n<p>Les r\u00e9sultats d\u00e9montrent que non seulement les sites de fuite des acteurs criminels sont accessibles \u00e0 tout utilisateur sur Internet, mais que d&#8217;autres composants de l&#8217;infrastructure, y compris l&#8217;identification des donn\u00e9es du serveur, ont \u00e9t\u00e9 laiss\u00e9s expos\u00e9s, permettant ainsi d&#8217;obtenir les emplacements de connexion utilis\u00e9s pour administrer les serveurs de ran\u00e7ongiciels.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Sites de ransomware anonymis\u00e9s sur le Dark Web\" border=\"0\" data-original-height=\"542\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1657004962_28_Des-chercheurs-partagent-des-techniques-pour-decouvrir-des-sites-de.jpg\" title=\"Sites de ransomware anonymis\u00e9s sur le Dark Web\" \/><\/div>\n<p>Une analyse plus approfondie des connexions r\u00e9ussies des utilisateurs root a montr\u00e9 qu&#8217;elles provenaient de deux adresses IP 5.230.29[.]12 et 176.119.0[.]195, dont le premier appartient \u00e0 GHOSTnet GmbH, un fournisseur d&#8217;h\u00e9bergement qui propose des services de serveur priv\u00e9 virtuel (VPS).<\/p>\n<p>&#8220;176.119.0[.]195 appartient cependant \u00e0 AS58271 qui est r\u00e9pertori\u00e9 sous le nom de Tyatkova Oksana Valerievna \u00bb, a not\u00e9 Eubanks. \u00ab Il est possible que l&#8217;op\u00e9rateur ait oubli\u00e9 d&#8217;utiliser le VPS bas\u00e9 en Allemagne pour l&#8217;obscurcissement et se soit connect\u00e9 \u00e0 une session avec ce serveur Web directement \u00e0 partir de leur v\u00e9ritable emplacement au 176.119. .0[.]195.&#8221;<\/p>\n<h3>LockBit ajoute un programme de primes de bogues \u00e0 son op\u00e9ration RaaS remani\u00e9e<\/h3>\n<p>Le d\u00e9veloppement intervient alors que les op\u00e9rateurs du ran\u00e7ongiciel \u00e9mergent Black Basta <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/22\/f\/black-basta-ransomware-operators-expand-their-attack-arsenal-wit.html\" target=\"_blank\">\u00e9tendu<\/a> son arsenal d&#8217;attaque en utilisant QakBot pour l&#8217;acc\u00e8s initial et le mouvement lat\u00e9ral, et en tirant parti de la vuln\u00e9rabilit\u00e9 PrintNightmare (CVE-2021-34527) pour effectuer des op\u00e9rations sur les fichiers privil\u00e9gi\u00e9s.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1656663365_395_Amazon-corrige-discretement-la-vulnerabilite-de-gravite-elevee-dans-lapplication.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>De plus, le gang du ran\u00e7ongiciel LockBit la semaine derni\u00e8re <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/vxunderground\/status\/1541156954214727685\" target=\"_blank\">annonc\u00e9<\/a> la sortie de LockBit 3.0 avec le message &#8220;Make Ransomware Great Again!&#8221;, en plus de lancer son propre programme Bug Bounty, offrant des r\u00e9compenses allant de 1 000 \u00e0 1 million de dollars pour l&#8217;identification des failles de s\u00e9curit\u00e9 et des &#8220;id\u00e9es brillantes&#8221; pour am\u00e9liorer son logiciel.<\/p>\n<p>&#8220;La sortie de LockBit 3.0 avec l&#8217;introduction d&#8217;un programme de primes de bogues est une invitation formelle aux cybercriminels \u00e0 aider le groupe dans sa qu\u00eate pour rester au sommet&#8221;, a d\u00e9clar\u00e9 Satnam Narang, ing\u00e9nieur de recherche senior chez Tenable, dans un communiqu\u00e9 partag\u00e9. avec The Hacker News.<\/p>\n<p>&#8220;Un objectif cl\u00e9 du programme de primes de bogues sont les mesures d\u00e9fensives\u00a0: emp\u00eacher les chercheurs en s\u00e9curit\u00e9 et les forces de l&#8217;ordre de trouver des bogues dans ses sites de fuite ou de ran\u00e7ongiciels, identifier les moyens par lesquels les membres, y compris le patron du programme d&#8217;affiliation, pourraient \u00eatre dox\u00e9s, ainsi que trouver des bogues dans la messagerie. logiciel utilis\u00e9 par le groupe pour les communications internes et le r\u00e9seau Tor lui-m\u00eame.&#8221;<\/p>\n<p>&#8220;La menace d&#8217;\u00eatre dox\u00e9 ou identifi\u00e9 indique que les efforts des forces de l&#8217;ordre sont clairement une grande pr\u00e9occupation pour des groupes comme LockBit. Enfin, le groupe pr\u00e9voit d&#8217;offrir Zcash comme option de paiement, ce qui est important, car Zcash est plus difficile \u00e0 tracer que Bitcoin, ce qui rend plus difficile pour les chercheurs de garder un \u0153il sur l&#8217;activit\u00e9 du groupe.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/07\/researchers-share-techniques-to-uncover.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9taill\u00e9 les diff\u00e9rentes mesures que les acteurs des ran\u00e7ongiciels ont prises pour masquer leur v\u00e9ritable identit\u00e9 en ligne ainsi que l&#8217;emplacement d&#8217;h\u00e9bergement de leur infrastructure de serveur Web. &#8220;La plupart des op\u00e9rateurs de ransomwares utilisent des h\u00e9bergeurs en dehors de leur pays d&#8217;origine (comme la Su\u00e8de, l&#8217;Allemagne et Singapour) pour [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":239789,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[86317,12848,4168,4158,4165,4161,6503,343,133,4157,4159,4171,4170,4167,4160,4163,4162,5937,185,4392,4172,4169,2783,60,7447,4166,4164,2784],"class_list":["post-239788","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-anonymises","tag-chercheurs","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dark","tag-decouvrir","tag-des","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-partagent","tag-pour","tag-ransomware","tag-securite-informatique","tag-securite-internet","tag-sites","tag-sur","tag-techniques","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-web"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/239788","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=239788"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/239788\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/239789"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=239788"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=239788"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=239788"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}