Les 9 outils les plus utilisés pour le déploiement des Ransomwares par les Hackers

L‘actualité autour de la cybersécurité est très dynamique. Au fil des années, plusieurs entreprises déclarent avoir été victimes d’une cyberattaque. De nos jours, les cyberattaques sont de plus en plus sophistiquées. La menace qui fait le plus l’actualité en ce moment est celle sur les Ransomwares. Un Ransomware est une catégorie de logiciel malveillant qui a pour objectif de chiffrer les données des entreprises afin de demander une rançon pour obtenir la clé de déchiffrement. Nous avons recensé quelques outils (parfois légitimes) utilisés par les hackers pour déployer des Ransomwares.

1- Mimikatz

Mimikatz est une application en accès libre qui permet aux utilisateurs de voir et enregistrer des informations d’authentification comme les tickets kerberos. Les hackers utilisent couramment Mimikatz pour voler des données d’identification et augmenter les privilèges, il a été développé en 2007.

2- Cobalt Strike

 Cobalt Strike est un outil de sécurité légitime utilisé par les pentesters pour émuler une activité cybercriminelle sur un réseau. Plusieurs types de ransomwares tels que Ryuk, Conti, Egregor et DoppelPaymer ont commencé à utiliser Cobalt Strike pour accélérer leur déploiement.

3- PSExec

PsExec, est un outil gratuit de la suite Sysinternals qui permet d’exécuter des tâches d’administration à distance en ligne de commande.  PsExec est un remplacement léger de telnet qui permet d’exécuter des processus sur d’autres systèmes, avec une interactivité complète pour les applications de console, sans avoir à installer manuellement le logiciel client, son utilisation est détournée pour l’exécution de code à distance par les hackers.

4- MetaSploit

Metasploit est un outil pour le développement et l’exécution d’exploits contre une machine distante, il permet de réaliser des audits de sécurité, de tester et développer ses propres exploits. Créé à l’origine en langage de programmation Perl, Metasploit Framework a été complètement réécrit en langage Ruby.

5- Powershell

Powershell est une suite logicielle développée par Microsoft qui intègre une interface en ligne de commande, un langage de script nommé PowerShell ainsi qu’un kit de développement. Il est inclus dans Windows 7, Windows 8.1, Windows 10 et Windows 11, il s’appuie sur le Framework Microsoft .NET. Il est également un langage de script orienté objet.

6- Process Hacker

Process Hacker est un outil open source qui permet de connaître les processus qui sont exécutés sur un appareil, d’identifier les programmes qui consomment des ressources CPU et de voir les connexions réseau associées à un processus.

Process Hacker est un bon outil pour surveiller les malwares sur un appareil. Il détermine les processus qui sont créés et identifie les connexions réseau et les chaînes intéressantes dans la mémoire, il est possible de recueillir de précieux indicateurs de compromission (IOC) lors du triage d’une infection par un malware.

7- AdFind

AdFind est un outil utilisé pour explorer l’Active Directory, il permet de faire des recherches dans l’AD. Il peut être utilisé comme prérequis pour un mouvement latéral.

8-MegaSync

MegaSync est un logiciel utilisé pour faire du stockage de fichier dans le cloud, il est utilisé pour l’exfiltration de données lors des cyberattaques.

9- BloodHound

BloodHound est un outil utilisé pour faire la cartographie de l’AD. Cet outil permet à un attaquant de savoir les comptes privilégiés pour atteindre son objectif. Il donne accès à l’ensemble des informations nécessaires sur l’environnement Active Directory visé et de façon détaillée.

Dans cet article nous avons listé les outils les plus utilisés, mais la liste n’est pas exhaustive, il existe des milliers d’autres outils performants, sans oublier ceux développés par les groupes d’attaquants qui ne sont pas tous Opensource.