Informations concernant LOCKERGOGA, RYUK et CONTI

Tout ce qui concerne les intrusions dans le Système d'Information, le vol de données, le pistage numérique et les moyens de s'en protéger
Répondre
Gérard
Messages : 76
Enregistré le : 03 oct. 2016 11:00
Etablissement : LNA-Santé
Fonction : RSSI
DPO / DPD : Oui

Informations concernant LOCKERGOGA, RYUK et CONTI

Message par Gérard » 01 avr. 2019 12:07

Je trouve très intéressant ce rapport de l'ANSSI sur Lockergoga dont on a beaucoup entendu parler ces derniers jours, et surtout ça permet de mettre à jour ses règles de sécurité.

https://www.cert.ssi.gouv.fr/uploads/CE ... CT-005.pdf

michael
Messages : 190
Enregistré le : 12 févr. 2016 13:38
Etablissement : CHU Nimes
Fonction : RSSI
DPO / DPD : Non

Re: Informations concernant LOCKERGOGA et RYUK

Message par michael » 02 avr. 2019 11:19

Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

Avatar du membre
charles
Administrateur du site
Messages : 5031
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Informations concernant LOCKERGOGA et RYUK

Message par charles » 02 juil. 2019 11:14

Pour compléter cet excellent rapport de l'ANSSI, le National Cyber Security Centre britannique a publié le 21/06/2019 un nouveau rapport relatif à la campagne d'infections via le rançongiciel RYUK. Le rapport souligne que dans le cas d'une compromission par le rançongiciel RYUK, les chevaux de Troies bancaires EMOTET et TRICKBOT sont généralement déployés également. TRICKBOT pour permettre le maintien et le déplacement latéral sur le réseau déploie Mimikatz et Powershell Empire selon ce rapport. Le rapport fourni également plusieurs IOCs :

https://www.ncsc.gov.uk/news/ryuk-advisory

Avatar du membre
charles
Administrateur du site
Messages : 5031
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

RYUK est remplacé par CONTI

Message par charles » 25 août 2020 23:32

Le rançongiciel Ryuk ne semble plus être déployé depuis le mois de juillet 2020. Son remplaçant Conti ayant fait son apparition mi juin a déjà fait au moins 26 victimes, dont une entreprise française. Comme tout rançongiciel moderne, la chiffrement des données s'accompagne d'une exfiltration et publication des données. Le cheval de Troie Trickbot est, comme pour Ryuk utilisé pour déployer Conti.

Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

Avatar du membre
charles
Administrateur du site
Messages : 5031
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Informations concernant LOCKERGOGA, RYUK et CONTI

Message par charles » 23 oct. 2020 21:37

Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.
Vous n’avez pas les permissions nécessaires pour voir les fichiers joints à ce message.

Avatar du membre
charles
Administrateur du site
Messages : 5031
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Informations concernant LOCKERGOGA, RYUK et CONTI

Message par charles » 31 oct. 2020 19:17

Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.
Vous n’avez pas les permissions nécessaires pour voir les fichiers joints à ce message.

Avatar du membre
charles
Administrateur du site
Messages : 5031
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Informations concernant LOCKERGOGA, RYUK et CONTI

Message par charles » 31 oct. 2020 20:14

Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.
Vous n’avez pas les permissions nécessaires pour voir les fichiers joints à ce message.

Avatar du membre
charles
Administrateur du site
Messages : 5031
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Informations concernant LOCKERGOGA, RYUK et CONTI

Message par charles » 01 nov. 2020 21:39

Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

Répondre

Retourner vers « Intrusions - Vols de données - Pistage »