{"id":397966,"date":"2022-10-05T03:07:34","date_gmt":"2022-10-05T05:07:34","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-chercheurs-associent-cheerscrypt-linux-ransomware-a-des-pirates-chinois\/"},"modified":"2022-10-05T03:07:36","modified_gmt":"2022-10-05T05:07:36","slug":"des-chercheurs-associent-cheerscrypt-linux-ransomware-a-des-pirates-chinois","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-chercheurs-associent-cheerscrypt-linux-ransomware-a-des-pirates-chinois\/","title":{"rendered":"Des chercheurs associent Cheerscrypt Linux Ransomware \u00e0 des pirates chinois"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>La souche de ransomware bas\u00e9e sur Linux r\u00e9cemment d\u00e9couverte, connue sous le nom de Cheerscrypt, a \u00e9t\u00e9 d\u00e9voil\u00e9e comme l&#8217;\u0153uvre d&#8217;un groupe de cyberespionnage chinois connu pour exploiter des programmes de ransomware de courte dur\u00e9e.<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Sygnia a attribu\u00e9 les attaques \u00e0 un acteur mena\u00e7ant qu&#8217;elle suit sous le nom d&#8217;Emperor Dragonfly, \u00e9galement connu sous le nom de Bronze Starlight (Secureworks) et DEV-0401 (Microsoft).<\/p>\n<p>&#8220;Emperor Dragonfly a d\u00e9ploy\u00e9 des outils open source \u00e9crits par des d\u00e9veloppeurs chinois pour des utilisateurs chinois&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 dans un communiqu\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sygnia.co\/revealing-emperor-dragonfly-a-chinese-ransomware-group\" target=\"_blank\">rapport<\/a> partag\u00e9 avec The Hacker News.  &#8220;Cela renforce les affirmations selon lesquelles les op\u00e9rateurs de ran\u00e7ongiciels &#8216;Emperor Dragonfly&#8217; sont bas\u00e9s en Chine.&#8221;<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>L&#8217;utilisation de Cheerscrypt est le dernier ajout \u00e0 une longue liste de familles de ransomwares pr\u00e9c\u00e9demment d\u00e9ploy\u00e9es par le groupe en un peu plus d&#8217;un an, notamment LockFile, Atom Silo, Rook, Night Sky, Pandora et LockBit 2.0.<\/p>\n<p>Secureworks, dans son profil du groupe, <a rel=\"nofollow noopener\" href=\"https:\/\/www.secureworks.com\/research\/threat-profiles\/bronze-starlight\" target=\"_blank\">c&#8217;est not\u00e9<\/a> &#8220;Il est plausible que Bronze Starlight d\u00e9ploie un ransomware comme \u00e9cran de fum\u00e9e plut\u00f4t que pour un gain financier, avec la motivation sous-jacente de voler la propri\u00e9t\u00e9 intellectuelle ou de mener de l&#8217;espionnage.&#8221;<\/p>\n<p>Cheerscrypt \u00e9tait <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/22\/e\/new-linux-based-ransomware-cheerscrypt-targets-exsi-devices.html\" target=\"_blank\">d&#8217;abord document\u00e9<\/a> par Trend Micro en mai 2022, appelant ses capacit\u00e9s \u00e0 cibler les serveurs VMware ESXi dans le cadre d&#8217;une tactique \u00e9prouv\u00e9e appel\u00e9e double extorsion pour contraindre ses victimes \u00e0 payer la ran\u00e7on ou risquer d&#8217;\u00eatre expos\u00e9es aux donn\u00e9es.<\/p>\n<p>Il s&#8217;est \u00e9galement revendiqu\u00e9 pro-ukrainien, affichant un &#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Slava_Ukraini\" target=\"_blank\">Gloire \u00e0 l&#8217;Ukraine!<\/a>&#8221; message sur leur site de fuite de donn\u00e9es sur le dark web.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"197\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/1664946454_515_Des-chercheurs-associent-Cheerscrypt-Linux-Ransomware-a-des-pirates-chinois.jpg\" \/><\/div>\n<p>Fait int\u00e9ressant, les partages du ransomware chevauchent la version Linux du ransomware Babuk, dont le code source a \u00e9t\u00e9 divulgu\u00e9 en septembre 2021 et qui constitue \u00e9galement la base des familles Rook, Night Sky et Pandora de l&#8217;Empereur Dragonfly.<\/p>\n<p>Le modus operandi de l&#8217;acteur mena\u00e7ant se distingue en outre par sa gestion de toutes les \u00e9tapes du cycle de vie de l&#8217;attaque par ransomware, depuis l&#8217;acc\u00e8s initial jusqu&#8217;au d\u00e9ploiement du ransomware, sans d\u00e9pendre des affili\u00e9s et des courtiers d&#8217;acc\u00e8s.  Microsoft a d\u00e9crit DEV-0401 comme un acteur &#8220;loup solitaire&#8221;.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Les cha\u00eenes d&#8217;infection observ\u00e9es \u00e0 ce jour ont utilis\u00e9 la vuln\u00e9rabilit\u00e9 critique Log4Shell dans la biblioth\u00e8que Apache Log4j pour compromettre les serveurs VMware Horizon afin de supprimer une charge utile PowerShell capable de fournir une balise Cobalt Strike chiffr\u00e9e.<\/p>\n<p>Sygnia a d\u00e9clar\u00e9 avoir \u00e9galement d\u00e9couvert trois outils suppl\u00e9mentaires bas\u00e9s sur Go d\u00e9ploy\u00e9s en tandem avec la balise : un <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/uknowsec\/keylogger\" target=\"_blank\">enregistreur de frappe<\/a> qui exporte les frappes enregistr\u00e9es vers Alibaba Cloud, un utilitaire de proxy Internet appel\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/EddieIvan01\/iox\" target=\"_blank\">iox<\/a>et un logiciel de tunnellisation appel\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/ehang-io\/nps\" target=\"_blank\">NPS<\/a>.<\/p>\n<p>Les liens de Cheerscrypt avec Emperor Dragonfly d\u00e9coulent de similitudes dans les vecteurs d&#8217;acc\u00e8s initiaux, les techniques de mouvement lat\u00e9ral et le d\u00e9ploiement de la balise crypt\u00e9e Cobalt Strike via <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1574\/002\/\" target=\"_blank\">Chargement lat\u00e9ral de DLL<\/a>.<\/p>\n<p>&#8220;Emperor Dragonfly est un op\u00e9rateur de ransomware bas\u00e9 en Chine, ce qui en fait une raret\u00e9 dans le paysage des menaces d&#8217;aujourd&#8217;hui&#8221;, ont d\u00e9clar\u00e9 les chercheurs, ajoutant qu'&#8221;un seul acteur de la menace a men\u00e9 toute l&#8217;op\u00e9ration&#8221;.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/10\/researchers-link-cheerscrypt-linux.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>La souche de ransomware bas\u00e9e sur Linux r\u00e9cemment d\u00e9couverte, connue sous le nom de Cheerscrypt, a \u00e9t\u00e9 d\u00e9voil\u00e9e comme l&#8217;\u0153uvre d&#8217;un groupe de cyberespionnage chinois connu pour exploiter des programmes de ransomware de courte dur\u00e9e. La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Sygnia a attribu\u00e9 les attaques \u00e0 un acteur mena\u00e7ant qu&#8217;elle suit sous le nom d&#8217;Emperor Dragonfly, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":397967,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[100835,114342,12848,5663,4168,4158,4165,4161,133,4157,4159,4171,4170,18088,4167,4160,4163,4162,4394,4392,4172,4169,4166,4164],"class_list":["post-397966","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-associent","tag-cheerscrypt","tag-chercheurs","tag-chinois","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-linux","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-ransomware","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/397966","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=397966"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/397966\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/397967"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=397966"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=397966"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=397966"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}