{"id":307746,"date":"2022-08-11T11:30:34","date_gmt":"2022-08-11T13:30:34","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-informatiques-derriere-les-attaques-de-rancongiciels-a-cuba-utilisant-le-nouveau-logiciel-malveillant-rat\/"},"modified":"2022-08-11T11:30:35","modified_gmt":"2022-08-11T13:30:35","slug":"les-pirates-informatiques-derriere-les-attaques-de-rancongiciels-a-cuba-utilisant-le-nouveau-logiciel-malveillant-rat","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-informatiques-derriere-les-attaques-de-rancongiciels-a-cuba-utilisant-le-nouveau-logiciel-malveillant-rat\/","title":{"rendered":"Les pirates informatiques derri\u00e8re les attaques de ran\u00e7ongiciels \u00e0 Cuba utilisant le nouveau logiciel malveillant RAT"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Les acteurs de la menace associ\u00e9s au ran\u00e7ongiciel Cuba ont \u00e9t\u00e9 li\u00e9s \u00e0 des tactiques, techniques et proc\u00e9dures (TTP) non document\u00e9es auparavant, y compris un nouveau cheval de Troie d&#8217;acc\u00e8s \u00e0 distance appel\u00e9 <b>ROM COM RAT<\/b> sur les syst\u00e8mes compromis.<\/p>\n<p>La <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/cuba-ransomware-tropical-scorpius\/\" target=\"_blank\">nouvelles d\u00e9couvertes<\/a> viennent de l&#8217;\u00e9quipe de renseignement sur les menaces de l&#8217;unit\u00e9 42 de Palo Alto Networks, qui suit le groupe de ran\u00e7ongiciels \u00e0 double extorsion sous le <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/unit-42-threat-group-naming-update\/\" target=\"_blank\">surnom sur le th\u00e8me de la constellation<\/a> <strong>Scorpion tropical<\/strong>.<\/p>\n<p>Cuba ransomware (alias <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/unc2596-cuba-ransomware\" target=\"_blank\">TIRAGE \u00c0 FROID<\/a>), qui a \u00e9t\u00e9 d\u00e9tect\u00e9 pour la premi\u00e8re fois en d\u00e9cembre 2019, est r\u00e9apparu dans le paysage des menaces en novembre 2021 et a \u00e9t\u00e9 attribu\u00e9 \u00e0 des attaques contre 60 entit\u00e9s dans cinq secteurs d&#8217;infrastructure critiques, amassant au moins 43,9 millions de dollars en paiements de ran\u00e7on.<\/p>\n<p>Sur les 60 victimes r\u00e9pertori\u00e9es sur son site de fuite de donn\u00e9es, 40 se trouvent aux \u00c9tats-Unis, ce qui indique une r\u00e9partition moins globale des organisations cibl\u00e9es que les autres gangs de ransomwares.<\/p>\n<p>&#8220;Cuba ransomware est distribu\u00e9 via le malware Hancitor, un chargeur connu pour d\u00e9poser ou ex\u00e9cuter des voleurs, tels que les chevaux de Troie d&#8217;acc\u00e8s \u00e0 distance (RAT) et d&#8217;autres types de ransomwares, sur les r\u00e9seaux des victimes&#8221;, selon un <a rel=\"nofollow noopener\" href=\"https:\/\/www.ic3.gov\/Media\/News\/2021\/211203-2.pdf\" target=\"_blank\">Alerte d\u00e9cembre 2021<\/a> du Federal Bureau of Investigation (FBI) des \u00c9tats-Unis.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/Une-nouvelle-etude-revele-que-la-plupart-des-fournisseurs-dentreprise.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>&#8220;Les acteurs de logiciels malveillants Hancitor utilisent des e-mails de phishing, des vuln\u00e9rabilit\u00e9s Microsoft Exchange, des informations d&#8217;identification compromises ou des outils l\u00e9gitimes de protocole de bureau \u00e0 distance (RDP) pour obtenir un acc\u00e8s initial au r\u00e9seau d&#8217;une victime.&#8221;<\/p>\n<p>Au cours des mois qui ont suivi, l&#8217;op\u00e9ration de ransomware a re\u00e7u une mise \u00e0 niveau dans le but \u00ab d&#8217;optimiser son ex\u00e9cution, de minimiser les comportements impr\u00e9vus du syst\u00e8me et de fournir une assistance technique aux victimes de ransomware si elles choisissent de n\u00e9gocier \u00bb, selon Trend Micro.<\/p>\n<p>Le principal des changements consistait \u00e0 mettre fin \u00e0 davantage de processus avant le chiffrement (\u00e0 savoir Microsoft Outlook, Exchange et MySQL), \u00e0 \u00e9largir les types de fichiers \u00e0 exclure et \u00e0 r\u00e9viser sa note de ran\u00e7on pour offrir une assistance aux victimes via quTox.<\/p>\n<p>On pense \u00e9galement que Tropical Scorpius partage des connexions avec un march\u00e9 d&#8217;extorsion de donn\u00e9es appel\u00e9 Industrial Spy, comme <a rel=\"nofollow noopener\" href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/industrial-spy-data-extortion-market-gets-into-the-ransomware-game\/\" target=\"_blank\">signal\u00e9<\/a> par Bleeping Computer en mai 2022, avec les donn\u00e9es exfiltr\u00e9es \u00e0 la suite d&#8217;une attaque de ransomware \u00e0 Cuba mises en vente sur le portail illicite au lieu de son propre site de fuite de donn\u00e9es.<\/p>\n<p>Les derni\u00e8res mises \u00e0 jour observ\u00e9es par l&#8217;unit\u00e9 42 en mai 2022 concernent les tactiques d&#8217;\u00e9vasion de la d\u00e9fense employ\u00e9es avant le d\u00e9ploiement du ransomware pour voler sous le radar et se d\u00e9placer lat\u00e9ralement dans l&#8217;environnement informatique compromis.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Cuba Ransomware\" border=\"0\" data-original-height=\"447\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/1660224634_186_Les-pirates-informatiques-derriere-les-attaques-de-rancongiciels-a-Cuba.jpg\" title=\"Cuba Ransomware\" \/><\/div>\n<p>&#8220;Tropical Scorpius a exploit\u00e9 un compte-gouttes qui \u00e9crit un pilote de noyau dans le syst\u00e8me de fichiers appel\u00e9 ApcHelper.sys&#8221;, a not\u00e9 la soci\u00e9t\u00e9.  &#8220;Cela cible et met fin aux produits de s\u00e9curit\u00e9. Le dropper n&#8217;a pas \u00e9t\u00e9 sign\u00e9, cependant, le pilote du noyau a \u00e9t\u00e9 sign\u00e9 \u00e0 l&#8217;aide du certificat trouv\u00e9 dans la fuite LAPSUS $ NVIDIA.&#8221;<\/p>\n<p>La t\u00e2che principale du pilote du noyau est de terminer les processus associ\u00e9s aux produits de s\u00e9curit\u00e9 afin de contourner la d\u00e9tection.  Un outil d&#8217;escalade de privil\u00e8ges local t\u00e9l\u00e9charg\u00e9 \u00e0 partir d&#8217;un serveur distant pour obtenir des autorisations SYSTEM est \u00e9galement int\u00e9gr\u00e9 \u00e0 la cha\u00eene d&#8217;attaque. <\/p>\n<p>Ceci, \u00e0 son tour, est r\u00e9alis\u00e9 en d\u00e9clenchant un exploit pour CVE-2022-24521 (score CVSS : 7,8), une faille dans le Windows Common Log File System (CLFS) qui a \u00e9t\u00e9 corrig\u00e9e par Microsoft comme une faille zero-day en avril 2022. .<\/p>\n<p>L&#8217;\u00e9tape d&#8217;escalade des privil\u00e8ges est suivie par la r\u00e9alisation d&#8217;activit\u00e9s de reconnaissance du syst\u00e8me et de d\u00e9placement lat\u00e9ral via des outils tels que ADFind et Net Scan, tout en utilisant \u00e9galement un utilitaire ZeroLogon qui exploite CVE-2020-1472 pour obtenir des droits d&#8217;administrateur de domaine.<\/p>\n<p>De plus, l&#8217;intrusion ouvre la voie au d\u00e9ploiement d&#8217;une nouvelle porte d\u00e9rob\u00e9e appel\u00e9e ROMCOM RAT, qui est \u00e9quip\u00e9e pour d\u00e9marrer un reverse shell, supprimer des fichiers arbitraires, t\u00e9l\u00e9charger des donn\u00e9es sur un serveur distant et r\u00e9colter une liste des processus en cours d&#8217;ex\u00e9cution.<\/p>\n<p>Le cheval de Troie d&#8217;acc\u00e8s \u00e0 distance, par unit\u00e9 42, serait en cours de d\u00e9veloppement actif, car la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 a d\u00e9couvert un deuxi\u00e8me \u00e9chantillon t\u00e9l\u00e9charg\u00e9 dans la base de donn\u00e9es VirusTotal le 20 juin 2022.<\/p>\n<p>La variante am\u00e9lior\u00e9e prend en charge un ensemble \u00e9largi de 22 commandes, comptant la possibilit\u00e9 de t\u00e9l\u00e9charger des charges utiles sur mesure pour capturer des captures d&#8217;\u00e9cran ainsi que d&#8217;extraire une liste de toutes les applications install\u00e9es \u00e0 renvoyer au serveur distant.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1656663365_395_Amazon-corrige-discretement-la-vulnerabilite-de-gravite-elevee-dans-lapplication.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>&#8220;Tropical Scorpius reste une menace active&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;L&#8217;activit\u00e9 du groupe montre clairement qu&#8217;une approche de l&#8217;artisanat utilisant un hybride d&#8217;outils plus nuanc\u00e9s se concentrant sur les composants internes de Windows de bas niveau pour l&#8217;\u00e9vasion de la d\u00e9fense et l&#8217;escalade des privil\u00e8ges locaux peut \u00eatre tr\u00e8s efficace lors d&#8217;une intrusion.<\/p>\n<p>Les d\u00e9couvertes surviennent alors que des groupes de ran\u00e7ongiciels \u00e9mergents tels que <a rel=\"nofollow noopener\" href=\"https:\/\/cloudsek.com\/threatintelligence\/stormous-ransomware-group-runs-opinion-polls-leaks-intellectual-property-of-indian-companies\/\" target=\"_blank\">Orageux<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sekoia.io\/vice-society-a-discreet-but-steady-double-extortion-ransomware-group\/\" target=\"_blank\">Vice-soci\u00e9t\u00e9<\/a>Luna, <a rel=\"nofollow noopener\" href=\"https:\/\/medium.com\/s2wblog\/two-copycats-of-lockbit-ransomware-solidbit-and-crypton-7257fb069b16\" target=\"_blank\">SolidBit<\/a>et BlueSky continuent de prolif\u00e9rer et d&#8217;\u00e9voluer dans l&#8217;\u00e9cosyst\u00e8me de la cybercriminalit\u00e9, tout en utilisant des techniques de cryptage et des m\u00e9canismes de diffusion avanc\u00e9s.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Ran\u00e7ongiciel SolidBit Logiciel malveillant\" border=\"0\" data-original-height=\"444\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/1660224634_308_Les-pirates-informatiques-derriere-les-attaques-de-rancongiciels-a-Cuba.jpg\" title=\"Ran\u00e7ongiciel SolidBit Logiciel malveillant\" \/><\/div>\n<p>SolidBit se distingue par son ciblage des utilisateurs de jeux vid\u00e9o et de plateformes de m\u00e9dias sociaux populaires en se faisant passer pour diff\u00e9rentes applications comme un outil de v\u00e9rification de compte League of Legends et des outils comme Social Hacker et Instagram Follower Bot, permettant aux acteurs de lancer un large r\u00e9seau de victimes potentielles. .<\/p>\n<p>&#8220;Le ransomware SolidBit est compil\u00e9 \u00e0 l&#8217;aide de .NET et est en fait une variante du ransomware Yashma, \u00e9galement connu sous le nom de Chaos&#8221;, a d\u00e9clar\u00e9 Trend Micro. <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/22\/h\/solidbit-ransomware-enters-the-raas-scene-and-takes-aim-at-gamer.html\" target=\"_blank\">c&#8217;est not\u00e9<\/a> dans un article la semaine derni\u00e8re.<\/p>\n<p>&#8220;Il est possible que les acteurs du ransomware de SolidBit travaillent actuellement avec le d\u00e9veloppeur original du ransomware Yashma et aient probablement modifi\u00e9 certaines fonctionnalit\u00e9s du constructeur Chaos, le rebaptisant plus tard SolidBit.&#8221;<\/p>\n<p>BlueSky, pour sa part, est connu pour utiliser le multithreading pour crypter les fichiers sur l&#8217;h\u00f4te pour un cryptage plus rapide, sans parler d&#8217;adopter des techniques anti-analyse pour obscurcir son apparence.<\/p>\n<p>La charge utile du ransomware, qui d\u00e9marre avec l&#8217;ex\u00e9cution d&#8217;un script PowerShell r\u00e9cup\u00e9r\u00e9 \u00e0 partir d&#8217;un serveur contr\u00f4l\u00e9 par un attaquant, se d\u00e9guise \u00e9galement en une application Windows l\u00e9gitime (&#8220;javaw.exe&#8221;).<\/p>\n<p>&#8220;Les auteurs de ransomwares adoptent des techniques avanc\u00e9es modernes telles que le codage et le cryptage d&#8217;\u00e9chantillons malveillants, ou l&#8217;utilisation de la livraison et du chargement de ransomwares en plusieurs \u00e9tapes, pour \u00e9chapper aux d\u00e9fenses de s\u00e9curit\u00e9&#8221;, Unit\u00e9 42 <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/bluesky-ransomware\/\" target=\"_blank\">c&#8217;est not\u00e9<\/a>.<\/p>\n<p>&#8220;Le ransomware BlueSky est capable de chiffrer les fichiers sur les h\u00f4tes victimes \u00e0 des vitesses rapides avec un calcul multithread. En outre, le ransomware adopte des techniques d&#8217;obscurcissement, telles que le hachage d&#8217;API, pour ralentir le processus d&#8217;ing\u00e9nierie inverse pour l&#8217;analyste.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/08\/hackers-behind-cuba-ransomware-attacks.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les acteurs de la menace associ\u00e9s au ran\u00e7ongiciel Cuba ont \u00e9t\u00e9 li\u00e9s \u00e0 des tactiques, techniques et proc\u00e9dures (TTP) non document\u00e9es auparavant, y compris un nouveau cheval de Troie d&#8217;acc\u00e8s \u00e0 distance appel\u00e9 ROM COM RAT sur les syst\u00e8mes compromis. La nouvelles d\u00e9couvertes viennent de l&#8217;\u00e9quipe de renseignement sur les menaces de l&#8217;unit\u00e9 42 de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":307747,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[8074,4168,48939,4158,4165,4161,4109,8154,4157,4159,4171,4170,65,6816,4167,7733,98340,680,4163,4162,4394,80120,46743,4172,4169,20349,4166,4164],"class_list":["post-307746","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-attaques","tag-comment-pirater","tag-cuba","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-derriere","tag-informatiques","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel","tag-logiciel-malveillant-de-ransomware","tag-malveillant","tag-mises-a-jour-de-cybersecurite","tag-nouveau","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-rancongiciels","tag-rat","tag-securite-informatique","tag-securite-internet","tag-utilisant","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/307746","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=307746"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/307746\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/307747"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=307746"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=307746"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=307746"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}