03 juin 2023Ravie LakshmananSécurité des terminaux / Linux

Rançongiciel Linux

Une analyse de la variante Linux d’une nouvelle souche de ransomware appelée BlackSuit a couvert des similitudes importantes avec une autre famille de ransomware appelée Royal.

Trend Micro, qui a examiné une version x64 VMware ESXi ciblant les machines Linux, a déclaré avoir identifié un « degré extrêmement élevé de similitude » entre Royal et BlackSuit.

« En fait, ils sont presque identiques, avec 98 % de similitudes dans les fonctions, 99,5 % de similitudes dans les blocs et 98,9 % de similitudes dans les sauts basés sur BinDiff, un outil de comparaison pour les fichiers binaires », ont déclaré les chercheurs de Trend Micro. indiqué.

Une comparaison des artefacts Windows a identifié 93,2 % de similitude dans les fonctions, 99,3 % dans les blocs de base et 98,4 % dans les sauts basés sur BinDiff.

Publicité

Costume noir est apparu pour la première fois début mai 2023, lorsque l’unité 42 de Palo Alto Networks a attiré l’attention sur sa capacité à cibler à la fois les hôtes Windows et Linux.

La Cyber-Sécurité

Conformément à d’autres groupes de rançongiciels, il exécute un système de double extorsion qui vole et crypte des données sensibles dans un réseau compromis en échange d’une compensation monétaire. Les données associées à une seule victime ont été répertoriées sur son site Web sombre.

Les dernières découvertes de Trend Micro montrent que BlackSuit et Royal utilisent l’AES d’OpenSSL pour le cryptage et utilisent des cryptage intermittent techniques pour accélérer le processus de cryptage.

Mis à part les chevauchements, BlackSuit intègre des arguments de ligne de commande supplémentaires et évite une liste différente de fichiers avec des extensions spécifiques lors de l’énumération et du cryptage.

« L’émergence du rançongiciel BlackSuit (avec ses similitudes avec Royal) indique qu’il s’agit soit d’une nouvelle variante développée par les mêmes auteurs, soit d’un imitateur utilisant un code similaire, soit d’une filiale du gang de rançongiciels Royal qui a mis en œuvre des modifications à la famille d’origine,  » a déclaré Trend Micro.

Étant donné que Royal est une émanation de l’ancienne équipe Conti, il est également possible que « BlackSuit ait émergé d’un groupe dissident au sein du gang de rançongiciels Royal d’origine », a théorisé la société de cybersécurité.

Le développement souligne une fois de plus l’état constant de flux dans le écosystème de rançongicielsalors même que de nouveaux acteurs menaçants émergent pour modifier les outils existants et générer des profits illicites.

WEBINAIRE À VENIR

🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque

Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !

Rejoindre la séance

Cela inclut une nouvelle initiative de ransomware-as-a-service (RaaS) portant le nom de code Pas de fuite selon Cyble, il permet à ses opérateurs et affiliés de tirer parti des méthodes de triple extorsion pour maximiser l’impact d’une attaque réussie.

La triple extorsion fait référence à un approche à trois volets dans lequel l’exfiltration et le cryptage des données sont associés à des attaques par déni de service distribué (DDoS) contre les cibles dans le but de perturber leurs activités et de les contraindre à payer la rançon.

Le service DDoS, par Cyble, est disponible moyennant des frais supplémentaires de 500 000 $, les opérateurs imposant des conditions interdisant aux affiliés de frapper des entités situées dans la Communauté des États indépendants (CEI) des pays.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


4.5/5 - (26 votes)
Publicité
Article précédentApple détaille iOS 17, iPadOS 17, macOS Sonoma, watchOS 10 et tvOS 17
Article suivantLa version bêta de One UI 6 de Samsung pourrait commencer peu de temps avant le lancement stable d’Android 14
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici