Catégorie : Technologie

Catégories
Armée Association Attaque Bitcoins Cybercriminels Déchiffrement Etude Europe Hôpital hyères informatique Mairie Non classé presse prix Professionnel Ransomware Sécurité Service informatique Technologie

Les intermittent de la cybercriminalité

Les chercheurs de la sécurité ont mis en évidence des personnes qui constituent une partie importante de l’écosystème de cybercrimination

Les intermittent de la cybercriminalité

Programmes de phishing, campagnes de logiciels malveillantes et autres opérations utilisent un nombre total de travailleurs ombragers. Pour leur offrir de meilleures opportunités de travail légitimes pourraient aider à réduire le crime?

Une collaboration de recherche avec l’Université technique tchèque à Prague et GoSecure et SecureWorks entreprises de sécurité Cyber a analysé les activités des personnes en marge de la cybercriminalité, les projets sous – jacents tels que la création de sites Web, finissent par être utilisés pour des attaques de phishing, les affiliés Systèmes pour diriger le trafic sur les sites Web compromis ou contrefaits ou écrire sur le code trouvé dans les logiciels malveillants.

Les gens sur l’origine de ces projets font parce qu’il est un moyen facile de gagner de l’argent. Mais faire ce travail, ils jettent les bases de campagnes malveillantes pour les cyber-criminels.

Un regard sur le web
L’étude, Mass Effect: Comment Opporitistic travailleurs conduisent dans la cybercriminalité et présenté au Black Hat États-Unis, trouve ses origines dans une analyse de l’Université technique tchèque qui a révélé des roues geost, un botnet et une campagne de logiciels malveillants Android comme des centaines infectés de milliers d’utilisateurs. Ce travail a permis aux chercheurs d’examiner les journaux pour certaines des personnes impliquées.

Ils ont pu trouver des traces de personnes dans ces journaux sur des forums en ligne et d’autres plates-formes de discussion et avoir une idée de leurs motivations.

«Nous avons commencé à comprendre que même s’ils étaient impliqués dans la diffusion de programmes malveillants, ils n’étaient pas nécessairement cerveaux, mais plutôt des travailleurs informels, ceux qui travaillent sur de petits projets», a déclaré Masarah Forfait-Clouston, chercheur de sécurité à Gosécur.

Bien que ces personnes sont au bas de la hiérarchie, ils exécutent des tâches utiles pour les cyber-criminels à des sites d’utilisation et d’outils, ils créent des activités malveillantes, y compris le phishing et les logiciels malveillants communication.

« Ils essaient de gagner leur vie et peut – être le salaire du crime mieux, donc ils vont là – bas, » a déclaré Sebastian Garcia, professeur adjoint à l’Université technique tchèque, affirmant que nous devons accorder plus d’ attention aux personnes qui oscillent entre la cybercriminalité et l’ activité juridique.

« Il y a beaucoup de gens dans ces forums publics que les sociétés de sécurité ne se rapportent pas, mais ce sont ceux qui soutiennent la majorité du travail, la création de pages web pour les e – mails de phishing, l’ APK, le cryptage, les logiciels malveillants, mulet, » dit – il.

L’arbre qui dissimule la forêt
« Si nous nous concentrons toujours sur des cerveaux » délinquants motivés « qui ont vraiment développé le Botnemetten et les moyens de gagner de l’argent avec tout cela, nous oublions les travailleurs », avertit M. Paquet-Clouston. « En tant que société, nous oublions souvent que beaucoup de gens sont impliqués et que ce n’est pas nécessairement des personnes très motivées, mais plutôt ceux qui finissent par faire l’activité », a-t-elle déclaré.

Mais cela ne signifie pas nécessairement que les personnes impliquées dans ces systèmes doivent être traitées comme des cybercriminels de vol élevé, en particulier lorsque certains ne savent même pas que leurs compétences sont utilisées pour la cybercriminalité.

En fait, il serait possible de donner à bon nombre de ces personnes la possibilité d’utiliser leurs avantages de compétences plutôt que de les utiliser pour l’aider à la criminalité.

Catégories
Attaque Cybercriminels informatique Ransomware Sécurité Service informatique Technologie

Des courtiers pour les cybercriminels

Les courtiers d’accès sont des individus ou des groupes qui ont réussi à accéder à un réseau ou à un système d’entreprise au moyen d’identificateurs, d’attaque de puissance brute ou du fonctionnement des vulnérabilités.

Des courtiers pour les cybercriminels

Le marché des courtiers d’accès continue de développer, le coût de ces accès pose un faible coût par rapport aux avantages potentiels d’une attaque de ransomware réussie.
Ces dernières années, Ransomware-As-A-Service (RAAS) groupes ont été intéressés par ces courtiers parce que les utiliser directement ou les payer en échange d’ un accès à un système cible , ils sont en mesure d’éviter la première étape de l’intrusion: La longue processus est nécessaire pour trouver un terminal vulnérable.

Lundi, Kela Cybergness Société a publié un rapport en explorant le marché des courtiers d’accès et a constaté que le coût moyen d’accès au réseau était de 5.400 $, alors que le prix médian était de 1 000 $. Dollars.

Si nous croyons que les demandes de collègues de rang millions de reach aujourd’hui de dollars d’un point de vue pénal, il est un petit prix à payer.

L’équipe a examiné plus d’un millier de messages publiés sur les forums de cybercriminels web sombre dans la période allant du 1er Juillet 2020 et 30 Juin 2021 et constaté que les annonces offrant un accès inclus un certain nombre d’offres basées sur le réseau et les comptes compromis – tels que l’accès à distance à un ordinateur dans une organisation – ainsi que l’ accès aux comptes de privilèges de domaine et accès à distance-RDP et VPN.

Au total, 25% de la publicité a été libéré par les courtiers.

comptes Privilege élevés qui vendent plus cher
Sans surprise, les offres avec la valeur la plus élevée – et donc les prix les plus élevés – étaient des services d’accès offrant des privilèges au niveau de domaine dans des entreprises allant de centaines de millions de dollars de revenus.

Les plupart des services d’accès coûteux concerne une société australienne génère un chiffre d’affaires annuel de 500 millions $ pour 12 Bitcoins (BTC), soit environ 478 000 $, et l’accès à une société d’informatique aux États-Unis, par ConnectWise, dans 5 BTC (200 000 $) .

Catégories
Cybercriminels Gagabyte, AMD, Intel informatique Sécurité Service informatique Technologie

Gigabyte victime d’un ransomware, Intel /AMD ?

GigaByte a confirmé le 13/08/2021 être victime d’un cyberhack qui a forcé le développeur à fermer beaucoup de ses serveurs basés à Taiwan. Une opération d’urgence affectant le site de support de la société: les utilisateurs ne peuvent plus accéder aux informations et documents normalement fournis par le site.

Gigabyte victime d’un ransomware, Intel AMD

Le fabricant d’ordinateurs GigaByte a été victime d’une cybercrattage qui pèse de grands risques sur ses partenaires, y compris Intel et AMD. Les pirates posséderaient des documents confidentiels.
Cette situation n’est pas très agréable en soi, mais pire, c’est que cela affecte également les partenaires des gigaoctets. Les hackers posséderont en fait 112 Go de fichiers, dont certains contiennent des informations confidentielles sur les partenaires de la société, y compris Intel et AMD.

Les gigaoctets ne signifiaient pas si c’était un ransomware, mais il semble que le groupe derrière l’attaque soit Ransomexx (précédemment détenant). Parmi les victimes de cette bande de pirates, des institutions publiques, mais aussi des entreprises et des gigaoctets sont probablement les plus importantes.

Afin de faire pression sur Gigabyte, Ransomexx a déjà publié des documents sur les activités du fabricant ainsi que ses partenaires qui n’ont pas demandé quelque chose, mais sont pris dans cette tempête. Pour éviter un plus gros avion, la victime est fortement encouragé à rançon salariale … les autorités ne favorisent pas qu’ils sont touchés par ces compagnies d’attaques à abandonner les pirates, mais gigaoctet ne serait pas le premier à lâcher l’argent demandé sur le maintien ses secrets.

Catégories
COVID-19 Etude Hôpital hyères informatique Sécurité Service informatique Technologie

Menaces sur les internautes français depuis le début de la crise de la /du Covid

Au cours des dernières semaines, de nombreuses rancingres et de grandes cyber attaques, parfois dans le monde entier devenaient conscientes. Il oublierait presque les risques qui pèsent sur les individus et restent toujours très nombreux. De l’usure de l’identité à la phishing, passez à travers la ligne, pas de sécurité.

Menaces sur les internautes français depuis le début de la crise de la /du Covid

LIEN

Catégories
Aérien Android Apple Armée Association Attaque Avaddon Bitcoins COVID-19 Déchiffrement Ekans Entreprise de construction Etude EvilQuest GandCrab Hakbit Hôpital hyères informatique Mac MacOS Mairie maze Nefilim NetWalker Non classé Orange presse prix Professionnel Ragnar Locker Ransomware revil Rugby Ryuk Sécurité Shade sodinokibi SolarWinds Spectre Sunburst Technologie ThiefQuest vidéo

Le coût des « piratages » professionnelles atteint un niveau record

Les grandes attaques des grandes entreprises et l’exposition de 50 à 65 millions d’enregistrements ont un prix élevé, jusqu’à 401 millions de dollars.

Selon une étude IBM, le coût moyen d’une attaque est de plus de 4 millions de dollars.

Le coût des piratages professionnelles atteint un niveau record

Le coût moyen d’une attaque a maintenant dépassé le barreau fatidique de 4 millions de dollars et a atteint un niveau record en vertu de la crise de la santé. Dans un rapport publié mercredi d’IBM, Big Blue estime que, en 2021, coûte une violation de données typique des entreprises de 4,24 millions USD. Le coût est de 10% supérieur à 2020.

En France, les secteurs les plus touchés sont des services financiers, du secteur pharmaceutique ainsi que de la technologie. Au niveau international, aux secteurs de la santé et des services financiers qui enregistrent les violations les plus chères.

Logiciels malveillants et hameçonnage

IBM estime qu’environ 60% des entreprises se sont tournées vers «Cloud» pour poursuivre leurs activités, bien que le renforcement du contrôle de la sécurité n’ait pas nécessairement suivi. Lorsque l’utilisation de travaux distants a explosé, elle était la même pour les infractions de données dont les quantités ont augmenté de 1 million de dollars – les taux les plus élevés de 4,96 millions de dollars contre 3, 89 millions de dollars.

Le vecteur d’attaque le plus courant des victimes de données d’un transfert de données est un compromis sur les informations d’identification, soit extraits des souches de données soumises, vendues ou obtenues par une attaque de force brute. Une fois que le réseau est infiltré, les informations personnelles identifiables (IPI) sont devenues des clients, notamment des noms et des adresses électroniques, volées dans près de la moitié des cas.

Services informatique Hyères

En 2021, il a fallu un total de 287 jours pour détecter et contenir une violation de données ou 7 jours de plus que l’année précédente. Au total, une organisation moyenne n’enregistrera pas d’entrer dans les 212 jours. Il ne sera donc pas capable de résoudre complètement le problème avant que 75 jours supplémentaires soient passés.

Les infractions de données dans le secteur de la santé ont été les plus chères, avec une moyenne de 9,23 millions de USD suivi des services financiers – 5,72 millions de dollars – et des médicaments, avec 5,04 millions de dollars.

Selon IBM, les entreprises qui utilisent des solutions de sécurité sont basées sur des algorithmes d’intelligence artificielle (AI), l’apprentissage automatique, l’analyse et le cryptage, ont tous diminué le coût potentiel d’une violation qui permet aux entreprises. Économisez en moyenne entre 0,1 25 et 1,49 million de dollars.

« L’augmentation des infractions de données sont une autre dépense supplémentaire pour les entreprises en fonction des changements technologiques rapides lors de la pandémie », a déclaré Chris McCurdy, vice-président de la sécurité IBM. « Bien que le coût des infractions de données ait atteint un niveau record au cours de la dernière année, le rapport a également démontré des signes positifs de l’impact des tactiques de sécurité modernes, telles que l’AI, l’automatisation et l’adoption d’une approche de confiance zéro – qui pourrait être payée en réduisant coûte ces incidents plus tard. « 

Catégories
Armée Attaque Déchiffrement informatique Ransomware Sécurité Service informatique Technologie

Malware Data Destroyeur en Iran « Wiper Meteor »

Les chercheurs de la Sentinelone CyberSecurity Society ont reconstitué la récente cyberattack contre le système ferroviaire iranien dans un nouveau rapport qui découvre un nouvel acteur malveillant – qu’ils s’appellent « MeteorExpresss ».

Malware Data Destroyeur en Iran Wiper Meteor

Le 9 juillet, les médias locaux locaux ont commencé à signaler une cybercrattage sur le système ferroviaire iranien, avec des pirates qui changent d’affichage dans les stations en demandant aux passagers d’appeler « 64411 », le numéro de téléphone du guide suprême.

Les services ferroviaires ont été interrompus et aujourd’hui, plus tard les attaquants du ministère iranien des Transports. Selon Reuters, le portail et les sous-sports du ministère ont cassé une attaque sur les ordinateurs et le développement urbain de l’ordinateur.

Wiper Meteor du jamais vu!

WIPER est capable de changer de mots de passe pour tous les utilisateurs, de désactiver les épargnants d’écran, de mettre fin à un processus basé sur une liste des processus cible, d’installer un bloqueur d’écran, de la fonction de récupération de désactivation, de modifier le traitement des erreurs politiques de démarrage, de créer des tâches planifiées, de déconnecter des tâches planifiées, de déconnecter des tâches planifiées. Sessions, supprimez des copies d’ombre, modifiez des images de l’écran de verrouillage et de l’exécution. Exigences.

LIENS 1 / 2

Catégories
Attaque Bitcoins Déchiffrement Etude informatique presse Ransomware revil Sécurité Service informatique Technologie

Kaseya prétend avoir payé aucune rançon

L’éditeur logiciel Kaseya a refusé d’avoir payé une rançon pour un déchiffrement universel après plusieurs jours avec des questions sur la manière dont l’outil est atteint.

Le 21 juillet, la Société a annoncé qu’un outil de déchiffrement universel a été réalisé grâce à une «tierce partie» et a travaillé avec Emsisoft Security Company pour aider les victimes de l’attaque de Ransomware REvil.

Kaseya prétend avoir payé aucune rançon

Lundi, Kaseya a publié une déclaration qui refuse des rumeurs qu’elle aurait payé une rançon sur REvil, le groupe Ransomware, a lancé l’attaque. REvil a demandé à l’origine une rançon de 70 millions de dollars, mais l’aurait réduit de 50 millions de dollars avant que tous ses sites Web ne disparaissent le 13 juillet.

Theresa Payton, ancien directeur des informations de la Maison-Blanche et expert en cybersécurité, a déclaré que les accords non-informations après les attaques sont plus fréquents que vous ne pourriez penser, mais a noté que « demander un accord sur les non-renseignements aux victimes n’est pas une pratique quotidienne pour chaque incident ».

« Lorsqu’un incident affecte davantage de victimes, le conseiller juridique demande à signer un accord sur les non-renseignements pour que la solution du problème ne soit pas publiée », a déclaré Payton.

Payton a ajouté que les causes de la demande de contrat de non-publication ne sont pas toujours mauvaises et invitées à consulter leurs avocats avant de signer quelque chose.

La société et la manière dont l’outil de décryptage universel a été atteint? Selon la presse, la société a chargé un accord de non-publication aux entreprises souhaitant profiter de cet outil.

« Nous certifions clairement que Kaseya n’a pas payé la rançon, que ce soit directement ou indirectement à travers un tiers, pour obtenir du déchiffrement », déclare la déclaration de Kaseya.

« Bien que chaque entreprise devait prendre sa propre décision sur le paiement de RanSom, Kaseya a décidé après avoir consulté des experts, de ne pas négocier avec les criminels qui ont commis cette attaque et que nous n’arrêtions pas de cet engagement. »

Selon la Déclaration, l’équipe d’intervention des incidents d’Emsisoft et de Kaseya a travaillé tous les week-ends pour fournir un déchiffrement avec certaines des 1 500 victimes touchées par l’attaque, y compris une grande chaîne de supermarchés en Suède, de l’Université Virginia Tech et des ordinateurs gouvernementaux locaux à Leonardtown, dans le Maryland.

La société a déclaré qu’elle avait appelé à toutes les victimes de manifester et d’ajouter que l’outil « s’est avéré 100% pour déchiffrer les fichiers complètement cryptés lors de l’attaque ».

Si la nouvelle d’un décendrier universel a été accueillie par des centaines de victimes touchées, certains soulignent qu’il existait un accord de non-information que Kaseya audacieuse les entreprises à signer l’échange d’outils.

CNN a confirmé que Kaseya a exigé un accord de non-information (NDA) d’accéder au déchiffrement. Dana Liedholm, porte-parole de Kaseya et plusieurs sociétés de cyber-sécurité impliquées, ont déclaré à ZDN et qu’ils ne pouvaient pas commenter cet accord.

LIEN

Catégories
Attaque Europe informatique presse Sécurité Service informatique Technologie

L’espace de cybersécurité Européen hacké ?

Cet atlas, disponible sur le site officiel (cybersecurity-atlas.ec.europa.eu), est destiné à réunir des professionnels européens de la sécurité de l’information. houston Bruxelles nous avons un problème!

L’espace de cybersécurité Européen hacké

Un utilisateur est néanmoins de restaurer toutes ces données pour leur suggérer de revendre à la discorde. Les journalistes records ont réussi à mettre la main sur la base de données pour confirmer l’authenticité et confirmer que les données proposées correspondent réellement au site. Parmi les soumissions de données, nous trouvons des adresses électroniques, des adresses de contact, des détails organisationnels ou le nom des personnes à contacter. Données déjà publiées et accessibles à ceux qui ont enregistré un compte sur le site Web de Cybersecurity Atlas.

Mais plus que les données ont la saisie réalisée pour confirmer que la base de données était directement à partir des systèmes informatiques du site Web de Cybersecurity Atlas et ne provenait donc pas d’une simple « raclage » des données d’un utilisateur.

La couverture de données avait été repérée par le site de Zataz: sur un forum spécialisé dans la revente des données volées suggéré un utilisateur qui a été suggéré depuis lundi un lot de fichier du projet CybersSecurity Atlas. Ce projet de la Commission européenne vise à indiquer les adresses de contact de diverses agences et des personnes impliquées dans des questions de cybersécurité européenne. Catalogue de la cybersécurité au niveau européen, lancé en 2018. Ce dossier était disponible publiquement et autorisé des entreprises, des chercheurs et des universitaires à enregistrer et à laisser leurs coordonnées d’accès ouvert.

Catégories
Etude hyères informatique Professionnel Ragnar Locker Sécurité Service informatique Technologie

Accenture et attaque de ransomware? Tout est bon!

Parmi les victimes du groupe Lockbit, Accenture, mais l’entreprise garantit que l’attaque est sous contrôle.

Accenture et attaque de ransomware Tout est bon!

Accenture a été parmi les victimes du groupe Lockbit avec un compte à rebours dont les déclencheurs étaient programmés le 11/08/2021.

Dans une déclaration, un porte-parole a minimisé l’incident et a affirmé qu’il n’avait qu’une petite influence sur les affaires de la société. Accenture a réalisé un chiffre d’affaires de plus de 40 milliards de dollars l’an dernier et compte plus de 550 000 employés dans plusieurs pays.

Accenture, une entreprise de conseil à services et technologies minimise l’importance d’une prétendue attaque de Ransomware, annoncée par Lockbit Group.

De nombreux internautes interrogent le montant des données volées pendant l’attaque et note qu’il n’est pas susceptible que l’attaque vienne du groupe.

Accenture n’a pas répondu aux questions pour déterminer s’il s’agissait d’une attaque effectuée à l’aide d’un employé.

Dans un rapport d’accent publié la semaine dernière, la Société a déclaré que 54% de toutes les victimes de Ransomware ou d’APRESTORT étaient des entreprises dont le chiffre d’affaires annuel était compris entre 1 et 9,9 milliards de dollars.

Accenture propose un certain nombre de services à 91 des 100 meilleures sociétés de classification de la fortune et des centaines d’autres entreprises. Les services informatiques, les technologies de fonctionnement, les services cloudis, la mise en œuvre de la technologie et les conseils ne sont que quelques-uns des services que la société est basée en Irlande offre à ses clients. En juin, la société a acheté Umlaut, une entreprise d’ingénieurs allemands pour élargir sa présence dans le cloud, l’IA et la 5G. Elle a également acquis trois autres entreprises en février.

L’Australian Cyber ​​Security Center a publié un résumé du vendredi indiquant que le groupe Ransomware Lockbit après une petite chute d’opération a été ravivé et intensifié ses attaques.

Selon l’Agence australienne, les membres du Groupe exploitent activement les vulnérabilités existantes dans les produits FORTITITINE FORMIPROXY identifiés par le lancement de la CVE-2018-13379 pour obtenir le premier accès aux réseaux de victimes spécifiques.

« La CCCAA est consciente de nombreux événements impliquant des verrouillements et son successeur » Lockbit 2.0 « en Australie depuis 2020. La majorité des décès connus de la CCAA ont été signalés après juillet 2021, ce qui indique une augmentation nette et significative des victimes nationales par rapport à d’autres variantes de ransomware, « Ajoute le communiqué de presse.

« La CCAA a observé des filiales de lockbit ont mis en œuvre avec succès des ranesomwares sur des systèmes d’entreprise dans divers secteurs, y compris des services professionnels, de la construction, de la fabrication, de la vente au détail et du régime alimentaire. »

En juin, l’équipe de l’intelligence de la menace Poina a publié un rapport qui enquête sur le bit de verrouillage de la structure RAAS et son inclinaison d’acheter un accès au protocole de bureau externe pour les serveurs en tant que vecteur d’attaque initial.

Le groupe exige généralement 85 000 $ en moyenne des victimes et si une tierce partie revient sur les opérateurs de la RAA. Plus de 20% des victimes d’un tableau de bord consulté par les chercheurs d’énergie appartenaient au secteur des logiciels et des services.

« Les services commerciaux et professionnels ainsi que le secteur des transports sont également très ciblés par le groupe Lockbit ».

Catégories
Attaque informatique Non classé presse Ransomware Sécurité Service informatique Technologie

Ce nouveau groupe de hackers vise les diplomates européens

BackdoorDiplomacy ne coupe pas les cheveux en quatre en matière de cyberespionnage.

Ce nouveau groupe de hackers vise les diplomates européens

Un groupe de cyberattaques récemment découvert cible des diplomates européens, africains et moyen-orientaux. Mis en évidence jeudi par des chercheurs d’ESET, le groupe appelé BackdoorDiplomacy, a été lié à des attaques réussies contre des ministères des Affaires étrangères dans de nombreux pays d’Afrique, du Moyen-Orient, d’Europe et d’Asie ainsi que contre un petit sous-ensemble d’entreprises de télécommunications en Afrique et au moins un organisme de bienfaisance au Moyen-Orient.

Selon les chercheurs d’ESET, ce groupe est opérationnel depuis au moins 2017. Il cible à la fois les systèmes Linux et Windows et semble préférer exploiter les appareils vulnérables face à Internet comme vecteur d’attaque initial.

S’il trouve des serveurs Web ou des interfaces de gestion de réseau présentant des points faibles, tels que Des problèmes logiciels ou une mauvaise sécurité de téléchargement de fichiers affectent le groupe. Dans un cas observé par ESET, un bogue appelé F5 – CVE-2020-5902 – a été utilisé pour déployer une porte dérobée Linux, tandis que BackdoorDiplomacy dans un autre cas a adopté les vulnérabilités du serveur Microsoft Exchange pour déployer China Chopper, un webshell.

Bien que BackdoorDiplomacy ait été enregistré en tant que groupe de hackers à part entière, il semble avoir des connexions ou au moins quelque chose en commun avec d’autres groupes. Le protocole de chiffrement du réseau utilisé par APT est presque identique à celui utilisé par la porte dérobée Whitebird du groupe Calypso, et ce malware a été déployé contre des cibles diplomatiques au Kazakhstan et au Kirghizistan dans les années 2017-2020.

En outre, ESET pense avoir des points communs avec CloudComputating / Platinum, qui a ciblé les organisations diplomatiques, gouvernementales et militaires en Asie au cours des années précédentes. D’autres index de codage et de mécanisme sont similaires à Rehashed Rat et MirageFox – également connus sous le nom d’APT15.

Dans le cadre d’autres recherches menées ce mois-ci, Check Point Research a découvert une nouvelle porte dérobée développée par des acteurs chinois de la menace pour une période de trois ans. Le malware, appelé VictoryDll_x86.dll, a été utilisé pour compromettre un réseau appartenant au département d’État d’un gouvernement d’Asie du Sud-Est.

De temps en temps, les attaquants analysent l’appareil pour un déplacement latéral, installent une porte dérobée personnalisée et mettent en œuvre une variété d’outils pour effectuer la surveillance et le vol de données. La porte dérobée, appelée Turian, serait basée sur la porte dérobée Quarian, un malware associé à des attaques contre des cibles diplomatiques en Syrie et aux États-Unis en 2013. L’implant principal est capable de récolter et d’exfiltrer des systèmes informatiques, de prendre des captures d’écran, mais aussi d’écraser. , déplacer/supprimer ou voler des fichiers.

Certains des outils utilisés incluent EarthWorm Network Tunnel Software, Mimikatz, NetCat et des logiciels développés par la National Security Agency (NSA) des États-Unis et dévoilés par ShadowBrokers, tels que EternalBlue, DoublePulsar et EternalRocks. VMProtect a dans la plupart des cas été utilisé pour essayer de cacher les activités du groupe.

Les diplomates peuvent avoir besoin de gérer des informations sensibles transmises via des disques et des supports de stockage amovibles. Pour étendre la portée de ses activités de cyber-espionnage, BackdoorDiplomacy recherche les clés USB et tente de copier les fichiers qu’elles contiennent dans une archive protégée par mot de passe, qui est ensuite envoyée à un centre de commande et de contrôle (C2) via la porte dérobée.