{"id":258665,"date":"2022-07-15T08:23:32","date_gmt":"2022-07-15T10:23:32","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-nord-coreens-ciblant-les-petites-et-moyennes-entreprises-avec-h0lygh0st-ransomware\/"},"modified":"2022-07-15T08:23:33","modified_gmt":"2022-07-15T10:23:33","slug":"des-pirates-nord-coreens-ciblant-les-petites-et-moyennes-entreprises-avec-h0lygh0st-ransomware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-nord-coreens-ciblant-les-petites-et-moyennes-entreprises-avec-h0lygh0st-ransomware\/","title":{"rendered":"Des pirates nord-cor\u00e9ens ciblant les petites et moyennes entreprises avec H0lyGh0st Ransomware"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un cluster de menaces \u00e9mergentes originaire de Cor\u00e9e du Nord est li\u00e9 au d\u00e9veloppement et \u00e0 l&#8217;utilisation de ransomwares dans les cyberattaques ciblant les petites entreprises depuis septembre 2021.<\/p>\n<p>Le groupe, qui se fait appeler H0lyGh0st d&#8217;apr\u00e8s la charge utile du ransomware du m\u00eame nom, est suivi par le Microsoft Threat Intelligence Center sous le nom de DEV-0530, une d\u00e9signation attribu\u00e9e \u00e0 un groupe inconnu, \u00e9mergent ou en d\u00e9veloppement d&#8217;activit\u00e9 de menace.<\/p>\n<p>Les entit\u00e9s cibl\u00e9es comprennent principalement les petites et moyennes entreprises telles que les organisations manufacturi\u00e8res, les banques, les \u00e9coles et les soci\u00e9t\u00e9s de planification d&#8217;\u00e9v\u00e9nements et de r\u00e9unions.<\/p>\n<p>&#8220;En plus de leur charge utile H0lyGh0st, DEV-0530 maintient un site .onion que le groupe utilise pour interagir avec leurs victimes&#8221;, ont d\u00e9clar\u00e9 les chercheurs. <a rel=\"nofollow noopener\" href=\"https:\/\/www.microsoft.com\/security\/blog\/2022\/07\/14\/north-korean-threat-actor-targets-small-and-midsize-businesses-with-h0lygh0st-ransomware\/\" target=\"_blank\">a dit<\/a> dans une analyse jeudi.<\/p>\n<p>&#8220;La m\u00e9thodologie standard du groupe consiste \u00e0 chiffrer tous les fichiers sur l&#8217;appareil cible et \u00e0 utiliser l&#8217;extension de fichier .h0lyenc, \u00e0 envoyer \u00e0 la victime un \u00e9chantillon des fichiers comme preuve, puis \u00e0 exiger un paiement en Bitcoin en \u00e9change de la restauration de l&#8217;acc\u00e8s aux fichiers.&#8221;<\/p>\n<p>Les montants de ran\u00e7on exig\u00e9s par DEV-0530 varient entre 1,2 et 5 bitcoins, bien qu&#8217;une analyse du portefeuille de crypto-monnaie de l&#8217;attaquant ne montre aucun paiement de ran\u00e7on r\u00e9ussi de ses victimes au d\u00e9but de juillet 2022.<\/p>\n<p>DEV-0530 aurait des liens avec un autre groupe nord-cor\u00e9en connu sous le nom de Plutonium (alias DarkSeoul ou Andariel), un sous-groupe op\u00e9rant sous l&#8217;\u00e9gide de Lazarus (alias Zinc ou Hidden Cobra).<\/p>\n<p>Le stratag\u00e8me illicite adopt\u00e9 par l&#8217;acteur mena\u00e7ant est \u00e9galement connu pour s&#8217;inspirer du paysage des ran\u00e7ongiciels, exploitant des tactiques d&#8217;extorsion pour faire pression sur les victimes afin qu&#8217;elles paient ou risquent de voir leurs informations publi\u00e9es sur les r\u00e9seaux sociaux.<\/p>\n<p>Le portail Web sombre de DEV-0530 affirme qu&#8217;il vise \u00e0 \u00ab combler le foss\u00e9 entre les riches et les pauvres \u00bb et \u00e0 \u00ab aider les pauvres et les affam\u00e9s \u00bb, dans une tactique qui refl\u00e8te une autre famille de ran\u00e7ongiciels appel\u00e9e GoodWill qui oblige les victimes \u00e0 faire des dons \u00e0 des causes sociales et \u00e0 fournir aide financi\u00e8re aux personnes dans le besoin.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Ran\u00e7ongiciel H0lyGh0st\" border=\"0\" data-original-height=\"450\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1657880612_159_Des-pirates-nord-coreens-ciblant-les-petites-et-moyennes-entreprises-avec.jpg\" title=\"Ran\u00e7ongiciel H0lyGh0st\" \/><\/div>\n<p>Les fils d&#8217;Ariane techniques qui lient le groupe \u00e0 Andariel proviennent de chevauchements dans l&#8217;ensemble d&#8217;infrastructures ainsi que sur la base des communications entre les comptes de messagerie contr\u00f4l\u00e9s par les deux collectifs d&#8217;attaquants, l&#8217;activit\u00e9 DEV-0530 \u00e9tant constamment observ\u00e9e pendant l&#8217;heure normale de Cor\u00e9e (UTC + 09: 00) . <\/p>\n<p>&#8220;Malgr\u00e9 ces similitudes, les diff\u00e9rences de rythme op\u00e9rationnel, de ciblage et d&#8217;artisanat sugg\u00e8rent que DEV-0530 et Plutonium sont des groupes distincts&#8221;, ont soulign\u00e9 les chercheurs.<\/p>\n<p>Dans un signe qui sugg\u00e8re un d\u00e9veloppement actif, quatre variantes diff\u00e9rentes du ran\u00e7ongiciel H0lyGh0st ont \u00e9t\u00e9 produites entre juin 2021 et mai 2022 pour cibler les syst\u00e8mes Windows : BTLC_C.exe, HolyRS.exe, HolyLock.exe et BLTC.exe.<\/p>\n<p>Alors que BTLC_C.exe (surnomm\u00e9 SiennaPurple) est \u00e9crit en C++, les trois autres versions (nom de code SiennaBlue) sont programm\u00e9es en Go, sugg\u00e9rant une tentative de la part de l&#8217;adversaire de d\u00e9velopper un malware multiplateforme. <\/p>\n<p>Les nouvelles souches apportent \u00e9galement des am\u00e9liorations \u00e0 leurs fonctionnalit\u00e9s de base, notamment l&#8217;obscurcissement des cha\u00eenes et la capacit\u00e9 de supprimer les t\u00e2ches planifi\u00e9es et de se retirer des machines infect\u00e9es.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Ran\u00e7ongiciel H0lyGh0st\" border=\"0\" data-original-height=\"341\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1657880612_479_Des-pirates-nord-coreens-ciblant-les-petites-et-moyennes-entreprises-avec.jpg\" title=\"Ran\u00e7ongiciel H0lyGh0st\" \/><\/div>\n<p>Les intrusions auraient \u00e9t\u00e9 facilit\u00e9es par l&#8217;exploitation de vuln\u00e9rabilit\u00e9s non corrig\u00e9es dans les applications Web et les syst\u00e8mes de gestion de contenu destin\u00e9s au public (par exemple, CVE-2022-26352), tirant parti de l&#8217;achat pour supprimer les charges utiles du ransomware et exfiltrer les donn\u00e9es sensibles avant de chiffrer le des dossiers.<\/p>\n<p>Les conclusions interviennent une semaine apr\u00e8s la cybers\u00e9curit\u00e9 am\u00e9ricaine et les agences de renseignement ont mis en garde contre l&#8217;utilisation du ran\u00e7ongiciel Maui par des pirates informatiques soutenus par le gouvernement nord-cor\u00e9en pour cibler le secteur de la sant\u00e9 depuis au moins mai 2021.<\/p>\n<p>L&#8217;expansion des cambriolages financiers aux ran\u00e7ongiciels est consid\u00e9r\u00e9e comme une autre tactique parrain\u00e9e par le gouvernement nord-cor\u00e9en pour compenser les pertes dues aux sanctions, aux catastrophes naturelles et \u00e0 d&#8217;autres revers \u00e9conomiques.<\/p>\n<p>Mais \u00e9tant donn\u00e9 le nombre restreint de victimes g\u00e9n\u00e9ralement associ\u00e9es aux activit\u00e9s parrain\u00e9es par l&#8217;\u00c9tat contre les organisations de crypto-monnaie, Microsoft a \u00e9mis l&#8217;hypoth\u00e8se que les attaques pourraient \u00eatre une agitation secondaire pour les acteurs de la menace impliqu\u00e9s.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>&#8220;Il est \u00e9galement possible que le gouvernement nord-cor\u00e9en n&#8217;autorise pas ou ne soutienne pas ces attaques de ran\u00e7ongiciels&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;Les individus ayant des liens avec l&#8217;infrastructure et les outils de Plutonium pourraient travailler au noir \u00e0 des fins personnelles. Cette th\u00e9orie du travail au noir pourrait expliquer la s\u00e9lection souvent al\u00e9atoire des victimes cibl\u00e9es par DEV-0530.&#8221;<\/p>\n<h3>La menace ransomware \u00e9volue dans un monde post-Conti<\/h3>\n<p>Le d\u00e9veloppement intervient \u00e9galement alors que le paysage des ransomwares \u00e9volue avec les groupes de ransomwares existants et nouveaux, \u00e0 savoir LockBit, Hive, Lilith, RedAlert (alias N13V) et 0mega, alors m\u00eame que le gang Conti a officiellement ferm\u00e9 ses op\u00e9rations en r\u00e9ponse \u00e0 une fuite massive de ses conversations internes.<\/p>\n<p>Ajoutant de l&#8217;huile sur le feu, le successeur am\u00e9lior\u00e9 de LockBit est \u00e9galement livr\u00e9 avec un tout nouveau site de fuite de donn\u00e9es qui permet \u00e0 tout acteur d&#8217;acheter des donn\u00e9es vol\u00e9es aux victimes, sans oublier d&#8217;incorporer une fonction de recherche qui facilite la mise en \u00e9vidence d&#8217;informations sensibles.<\/p>\n<p>D&#8217;autres familles de ransomwares ont \u00e9galement ajout\u00e9 des fonctionnalit\u00e9s similaires dans le but de cr\u00e9er des bases de donn\u00e9es consultables d&#8217;informations vol\u00e9es lors d&#8217;attaques.  Parmi cette liste, notons PYSA, BlackCat (alias ALPHV) et la ramification de Conti connue sous le nom de Karakurt, selon un rapport de <a rel=\"nofollow noopener\" href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/ransomware-gang-now-lets-you-search-their-stolen-data\/\" target=\"_blank\">Ordinateur qui bipe<\/a>.<\/p>\n<p>D&#8217;apr\u00e8s les statistiques recueillies par <a rel=\"nofollow noopener\" href=\"https:\/\/www.digitalshadows.com\/blog-and-research\/ransomware-in-q2-2022-ransomware-is-back-in-business\/\" target=\"_blank\">Ombres num\u00e9riques<\/a>705 organisations ont \u00e9t\u00e9 nomm\u00e9es sur des sites Web de fuites de donn\u00e9es de ransomwares au deuxi\u00e8me trimestre 2022, ce qui repr\u00e9sente une augmentation de 21,1 % par rapport au premier trimestre 2022. Les principales familles de ransomwares au cours de la p\u00e9riode comprenaient LockBit, Conti, BlackCat, Black Basta et <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sekoia.io\/vice-society-a-discreet-but-steady-double-extortion-ransomware-group\/\" target=\"_blank\">Vice-soci\u00e9t\u00e9<\/a>.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/07\/north-korean-hackers-targeting-small.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un cluster de menaces \u00e9mergentes originaire de Cor\u00e9e du Nord est li\u00e9 au d\u00e9veloppement et \u00e0 l&#8217;utilisation de ransomwares dans les cyberattaques ciblant les petites entreprises depuis septembre 2021. Le groupe, qui se fait appeler H0lyGh0st d&#8217;apr\u00e8s la charge utile du ransomware du m\u00eame nom, est suivi par le Microsoft Threat Intelligence Center sous le [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":258666,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[84,4175,4168,4158,4165,4161,133,3244,89781,4157,4159,4171,4170,65,4167,4160,43507,24722,4163,4162,2052,4394,4392,4172,4169,4166,4164],"class_list":["post-258665","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-avec","tag-ciblant","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-entreprises","tag-h0lygh0st","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-moyennes","tag-nordcoreens","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-petites","tag-pirates","tag-ransomware","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/258665","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=258665"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/258665\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/258666"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=258665"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=258665"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=258665"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}