{"id":422958,"date":"2022-10-20T19:04:18","date_gmt":"2022-10-20T21:04:18","guid":{"rendered":"https:\/\/teknomers.com\/fr\/oldgremlin-ransomware-cible-sur-une-douzaine-dentites-russes-dans-le-cadre-dun-programme-de-plusieurs-millions\/"},"modified":"2022-10-20T19:04:19","modified_gmt":"2022-10-20T21:04:19","slug":"oldgremlin-ransomware-cible-sur-une-douzaine-dentites-russes-dans-le-cadre-dun-programme-de-plusieurs-millions","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/oldgremlin-ransomware-cible-sur-une-douzaine-dentites-russes-dans-le-cadre-dun-programme-de-plusieurs-millions\/","title":{"rendered":"OldGremlin Ransomware cibl\u00e9 sur une douzaine d&#8217;entit\u00e9s russes dans le cadre d&#8217;un programme de plusieurs millions"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un groupe de ran\u00e7ongiciels russophone surnomm\u00e9 <b>VieuxGremlin <\/b>a \u00e9t\u00e9 attribu\u00e9 \u00e0 16 campagnes malveillantes visant des entit\u00e9s op\u00e9rant dans la nation eurasienne transcontinentale au cours de deux ans et demi.<\/p>\n<p>&#8220;Les victimes du groupe comprennent des entreprises de secteurs tels que la logistique, l&#8217;industrie, l&#8217;assurance, la vente au d\u00e9tail, l&#8217;immobilier, le d\u00e9veloppement de logiciels et la banque&#8221;, a d\u00e9clar\u00e9 Group-IB. <a rel=\"nofollow noopener\" href=\"https:\/\/www.group-ib.com\/media-center\/press-releases\/oldgremlin-2022\/\" target=\"_blank\">a dit<\/a> dans un rapport exhaustif partag\u00e9 avec The Hacker News.  &#8220;En 2020, le groupe a m\u00eame cibl\u00e9 un fabricant d&#8217;armes.&#8221;<\/p>\n<p>Dans ce qui est rare dans le paysage des ran\u00e7ongiciels, OldGremlin (alias TinyScouts) est l&#8217;un des tr\u00e8s rares gangs de cybercriminalit\u00e9 \u00e0 motivation financi\u00e8re qui se concentre principalement sur les entreprises russes.<\/p>\n<p>Dharma, Crylock et Thanos sont d&#8217;autres groupes notables, contribuant \u00e0 une augmentation des attaques de ransomware ciblant les entreprises du pays de plus de 200 % en 2021.<\/p>\n<p>OldGremlin a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9 pour la premi\u00e8re fois en septembre 2020 lorsque la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 bas\u00e9e \u00e0 Singapour a divulgu\u00e9 neuf campagnes orchestr\u00e9es par l&#8217;acteur entre mai et ao\u00fbt.  La premi\u00e8re attaque a \u00e9t\u00e9 d\u00e9tect\u00e9e d\u00e9but avril 2020.<\/p>\n<p>Au total, le groupe aurait men\u00e9 10 campagnes de phishing par e-mail en 2020, suivies d&#8217;une attaque tr\u00e8s r\u00e9ussie en 2021 et de cinq autres en 2022, avec des demandes de ran\u00e7on atteignant un record de 16,9 millions de dollars.<\/p>\n<p>&#8220;OldGremlin \u00e9tudie minutieusement leurs victimes&#8221;, a expliqu\u00e9 Group-IB.  &#8220;La ran\u00e7on demand\u00e9e est donc souvent proportionnelle \u00e0 la taille et au chiffre d&#8217;affaires de l&#8217;entreprise et est \u00e9videmment sup\u00e9rieure au budget n\u00e9cessaire pour assurer un niveau de s\u00e9curit\u00e9 de l&#8217;information convenable.&#8221;<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/Des-chercheurs-detaillent-la-faille-Azure-SFX-qui-aurait-pu.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Connues pour cibler principalement les r\u00e9seaux d&#8217;entreprise fonctionnant sous Windows, les attaques mont\u00e9es par OldGremlin ont exploit\u00e9 des e-mails de phishing se faisant passer pour des soci\u00e9t\u00e9s de services fiscaux et juridiques pour inciter les victimes \u00e0 cliquer sur des liens frauduleux et \u00e0 t\u00e9l\u00e9charger des fichiers malveillants, permettant aux attaquants de se frayer un chemin \u00e0 l&#8217;int\u00e9rieur des r\u00e9seaux.<\/p>\n<p>&#8220;Les acteurs de la menace se font souvent passer pour des entreprises bien connues, notamment le groupe de m\u00e9dias RBC, le syst\u00e8me d&#8217;assistance juridique Consultant Plus, la soci\u00e9t\u00e9 1C-Bitrix, l&#8217;Union russe des industriels et entrepreneurs et Minsk Tractor Works&#8221;, a d\u00e9clar\u00e9 Group-IB.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"375\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/1666299857_55_OldGremlin-Ransomware-cible-sur-une-douzaine-dentites-russes-dans-le.jpg\" \/><\/div>\n<p>Apr\u00e8s avoir pris un pied initial, OldGremlin s&#8217;efforce d&#8217;\u00e9tablir la persistance en cr\u00e9ant des t\u00e2ches planifi\u00e9es, en obtenant des privil\u00e8ges \u00e9lev\u00e9s \u00e0 l&#8217;aide de Cobalt Stroke et m\u00eame une faille dans Cisco AnyConnect (<a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2020-3153\" target=\"_blank\">CVE-2020-3153<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2020-3433\" target=\"_blank\">CVE-2020-3433<\/a>), tout en acc\u00e9dant \u00e0 distance \u00e0 l&#8217;infrastructure compromise \u00e0 l&#8217;aide d&#8217;outils tels que TeamViewer.<\/p>\n<p>Certains des aspects qui distinguent l&#8217;\u00e9quipage des autres groupes de ran\u00e7ongiciels sont qu&#8217;il ne s&#8217;appuie pas sur la double extorsion pour contraindre les entreprises cibl\u00e9es \u00e0 payer malgr\u00e9 l&#8217;exfiltration des donn\u00e9es.  Il a \u00e9galement \u00e9t\u00e9 observ\u00e9 faisant de longues pauses apr\u00e8s chaque attaque r\u00e9ussie.<\/p>\n<p>De plus, le temps d&#8217;attente moyen jusqu&#8217;au d\u00e9ploiement du ran\u00e7ongiciel a \u00e9t\u00e9 fix\u00e9 \u00e0 49 jours, bien au-dessus du rapport. <a rel=\"nofollow noopener\" href=\"https:\/\/www.sophos.com\/en-us\/press-office\/press-releases\/2022\/06\/attacker-dwell-time-increased-by-36-percent-sophos-active-adversary-playbook-2022-reveals\" target=\"_blank\">Temps de s\u00e9jour m\u00e9dian de 11 jours<\/a>sugg\u00e9rant des efforts prolong\u00e9s de la part de l&#8217;acteur pour examiner le domaine pirat\u00e9 (ce qui est r\u00e9alis\u00e9 \u00e0 l&#8217;aide d&#8217;un outil appel\u00e9 TinyScout).<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"385\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/1666299858_770_OldGremlin-Ransomware-cible-sur-une-douzaine-dentites-russes-dans-le.jpg\" \/><\/div>\n<p>La vague de phishing la plus r\u00e9cente d&#8217;OldGremlin s&#8217;est produite le 23 ao\u00fbt 2022, avec des e-mails incorporant des liens pointant vers une charge utile d&#8217;archive ZIP h\u00e9berg\u00e9e sur Dropbox pour activer la killchain.<\/p>\n<p>Ces fichiers d&#8217;archives, \u00e0 leur tour, h\u00e9bergent un fichier LNK escroc (surnomm\u00e9 TinyLink) qui t\u00e9l\u00e9charge une porte d\u00e9rob\u00e9e appel\u00e9e TinyFluff, qui est l&#8217;un des quatre implants utilis\u00e9s par le groupe : TinyPosh, TinyNode et TinyShell, avant de supprimer les sauvegardes de donn\u00e9es et de d\u00e9poser le fichier . Ran\u00e7ongiciel TinyCrypt bas\u00e9 sur NET.<\/p>\n<ul>\n<li>TinyPosh : un cheval de Troie PowerShell con\u00e7u pour collecter et transf\u00e9rer des informations sensibles sur le syst\u00e8me infect\u00e9 vers un serveur distant, et lancer des scripts PowerShell suppl\u00e9mentaires.<\/li>\n<li>TinyNode : Une porte d\u00e9rob\u00e9e qui ex\u00e9cute l&#8217;interpr\u00e9teur Node.js pour ex\u00e9cuter les commandes re\u00e7ues d&#8217;un serveur de commande et de contr\u00f4le (C2) sur le r\u00e9seau Tor.<\/li>\n<li>TinyFluff : A <a rel=\"nofollow noopener\" href=\"https:\/\/blog.group-ib.com\/oldgremlin_comeback\" target=\"_blank\">successeur<\/a> \u00e0 TinyNode, qui est utilis\u00e9 comme t\u00e9l\u00e9chargeur principal pour recevoir et ex\u00e9cuter des scripts malveillants.<\/li>\n<\/ul>\n<p>OldGremlin utilise \u00e9galement d&#8217;autres outils tels que TinyShot, un utilitaire de console pour capturer des captures d&#8217;\u00e9cran, TinyKiller, qui tue les processus antivirus via une attaque BYOVD (apportez votre propre pilote vuln\u00e9rable) ciblant les pilotes gdrv.sys et RTCore64.sys.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Il convient de noter que les op\u00e9rateurs \u00e0 l&#8217;origine du groupe de ran\u00e7ongiciels BlackByte ont \u00e9galement \u00e9t\u00e9 r\u00e9cemment d\u00e9couverts en train d&#8217;exploiter la m\u00eame faille dans le pilote RTCore64.sys pour d\u00e9sactiver les solutions de s\u00e9curit\u00e9 sur les machines pirat\u00e9es.<\/p>\n<p>Une autre application inhabituelle utilis\u00e9e par OldGremlin dans ses attaques est une application de console .NET appel\u00e9e TinyIsolator, qui coupe temporairement l&#8217;h\u00f4te du r\u00e9seau en d\u00e9sactivant les adaptateurs r\u00e9seau avant d&#8217;ex\u00e9cuter le ransomware.<\/p>\n<p>En plus de cela, l&#8217;arsenal de logiciels malveillants du groupe comprend une version Linux de TinyCrypt, qui est \u00e9crite en GO et lanc\u00e9e apr\u00e8s la suppression des fichiers .bash_history, la modification des mots de passe des utilisateurs pour limiter l&#8217;acc\u00e8s \u00e0 l&#8217;h\u00f4te compromis et la d\u00e9sactivation de SSH.<\/p>\n<p>&#8220;OldGremlin a d\u00e9mystifi\u00e9 le mythe selon lequel les groupes de ran\u00e7ongiciels sont indiff\u00e9rents aux entreprises russes&#8221;, a d\u00e9clar\u00e9 Ivan Pisarev, responsable de l&#8217;\u00e9quipe d&#8217;analyse dynamique des logiciels malveillants chez Group-IB.<\/p>\n<p>&#8220;Malgr\u00e9 le fait qu&#8217;OldGremlin se concentre jusqu&#8217;\u00e0 pr\u00e9sent sur la Russie, il ne faut pas les sous-estimer ailleurs. De nombreux gangs russophones ont commenc\u00e9 par cibler des entreprises dans l&#8217;espace post-sovi\u00e9tique, puis sont pass\u00e9s \u00e0 d&#8217;autres zones g\u00e9ographiques.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/10\/oldgremlin-ransomware-targeted-over.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un groupe de ran\u00e7ongiciels russophone surnomm\u00e9 VieuxGremlin a \u00e9t\u00e9 attribu\u00e9 \u00e0 16 campagnes malveillantes visant des entit\u00e9s op\u00e9rant dans la nation eurasienne transcontinentale au cours de deux ans et demi. &#8220;Les victimes du groupe comprennent des entreprises de secteurs tels que la logistique, l&#8217;industrie, l&#8217;assurance, la vente au d\u00e9tail, l&#8217;immobilier, le d\u00e9veloppement de logiciels et [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":422959,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4176,7087,4168,4158,4165,4161,429,118169,30473,74,4157,4159,4171,4170,4167,1610,4160,4163,4162,118168,701,4802,4392,248,4172,4169,60,196,4166,4164],"class_list":["post-422958","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-cadre","tag-cible","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-dentites","tag-douzaine","tag-dun","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-millions","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-oldgremlin","tag-plusieurs","tag-programme","tag-ransomware","tag-russes","tag-securite-informatique","tag-securite-internet","tag-sur","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/422958","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=422958"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/422958\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/422959"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=422958"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=422958"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=422958"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}