Ransomware Conti

Les opérateurs du cheval de Troie TrickBot collaborent avec le groupe de menaces Shathak pour distribuer leurs produits, conduisant finalement au déploiement du ransomware Conti sur les machines infectées.

« L’implémentation de TrickBot a évolué au fil des ans, avec des versions récentes de TrickBot mettant en œuvre des capacités de chargement de logiciels malveillants », les analystes de la sécurité de Cybereason Aleksandar Milenkoski et Eli Salem mentionné dans un rapport analysant les récentes campagnes de diffusion de logiciels malveillants menées par le groupe. « TrickBot a joué un rôle majeur dans de nombreuses campagnes d’attaques menées par différents acteurs de la menace, des cybercriminels courants aux acteurs étatiques. »

Sauvegardes Github Automatiques

Le dernier rapport s’appuie sur un rapport d’IBM X-Force du mois dernier, qui révélait les partenariats de TrickBot avec d’autres gangs de cybercriminalité, dont Shathak, pour diffuser des logiciels malveillants propriétaires. Également suivi sous le surnom de TA551, Shathak est un acteur sophistiqué de la cybercriminalité ciblant les utilisateurs finaux à l’échelle mondiale, agissant en tant que distributeur de logiciels malveillants en exploitant des archives ZIP protégées par mot de passe contenant des documents Office prenant en charge les macros.

Ransomware Conti

Le gang TrickBot, connu sous le nom d’ITG23 ou Wizard Spider, est également responsable du développement et de la maintenance du ransomware Conti, en plus de louer l’accès au logiciel malveillant aux affiliés via un ransomware-as-a-service (RaaS) maquette.

Les chaînes d’infection impliquant Shathak impliquent généralement l’envoi d’e-mails de phishing intégrés à des documents Word contenant des logiciels malveillants, ce qui conduit finalement au déploiement de logiciels malveillants TrickBot ou BazarBackdoor, qui sont ensuite utilisés comme canal pour déployer des balises Cobalt Strike ainsi que le ransomware, mais pas avant d’effectuer des activités de reconnaissance, de mouvement latéral, de vol d’identifiants et d’exfiltration de données.

Publicité
Prévenir Les Violations De Données

Les chercheurs de Cybereason ont déclaré avoir observé un délai moyen de rançon (TTR) de deux jours après les compromissions, indiquant le temps écoulé entre le moment où l’acteur malveillant obtient un accès initial à un réseau et le moment où il déploie réellement le ransomware.

Les conclusions viennent également de la US Cybersecurity and Infrastructure Security Agency (CISA) et du Federal Bureau of Investigation (FBI) signalé que pas moins de 400 attaques de ransomware Conti avaient eu lieu ciblant des organisations américaines et internationales en septembre 2021.

Pour sécuriser les systèmes contre le ransomware Conti, les agences recommandent d’appliquer diverses mesures d’atténuation, notamment « l’authentification multifacteur (MFA), la mise en œuvre de la segmentation du réseau et la mise à jour des systèmes d’exploitation et des logiciels ».


Rate this post
Publicité
Article précédentUne nouvelle discothèque inspirée de l’anime Zenaku ouvre ses portes à Houston ce mois-ci
Article suivantForza Horizon 5 « le plus grand lancement » de tous les jeux Microsoft • Fr.techtribune
Avatar De Violette Laurent
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici