{"id":168900,"date":"2025-12-10T10:16:31","date_gmt":"2025-12-10T18:16:31","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=168900"},"modified":"2025-12-17T11:15:32","modified_gmt":"2025-12-17T19:15:32","slug":"new-ransomware-01flip-written-in-rust","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/fr\/new-ransomware-01flip-written-in-rust\/","title":{"rendered":"01flip\u00a0: un ransomware multi-plateforme \u00e9crit en langage\u00a0Rust"},"content":{"rendered":"<h2><a id=\"post-168900-_heading=h.lk8qolozhdn9\"><\/a>Avant-propos<\/h2>\n<p>En juin\u00a02025, nous avons observ\u00e9 une nouvelle famille de ransomwares baptis\u00e9e\u00a001flip, ciblant un nombre limit\u00e9 de victimes dans la r\u00e9gion Asie-Pacifique. Enti\u00e8rement d\u00e9velopp\u00e9 en Rust, 01flip exploite les capacit\u00e9s de cross-compilation de ce langage pour fonctionner sur plusieurs plateformes.<\/p>\n<p>Ces acteurs, motiv\u00e9s par des gains financiers, ont probablement conduit cette op\u00e9ration via des moyens manuels. Nous avons confirm\u00e9 l\u2019existence d\u2019une fuite de donn\u00e9es suppos\u00e9ment li\u00e9e \u00e0 une organisation touch\u00e9e, publi\u00e9e sur un forum du dark\u00a0web peu apr\u00e8s l\u2019attaque. Nous <a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/unit-42-attribution-framework\/\" target=\"_blank\" rel=\"noopener\">suivons actuellement cette activit\u00e9<\/a> sous le code CL-CRI-1036, qui d\u00e9signe un cluster d\u2019op\u00e9rations malveillantes vraisemblablement li\u00e9es \u00e0 la cybercriminalit\u00e9.<\/p>\n<p>Nos principales conclusions\u00a0:<\/p>\n<ul>\n<li>Les acteurs financiers derri\u00e8re CL-CRI-1036 utilisent 01flip, une nouvelle famille de ransomwares enti\u00e8rement \u00e9crite en Rust<\/li>\n<li>Ce ransomware prend en charge une architecture multiplateforme, notamment Windows et Linux<\/li>\n<li>Un acteur potentiellement associ\u00e9 \u00e0 CL-CRI-1036 propose \u00e0 la vente des donn\u00e9es sur des forums du dark\u00a0web (vraisemblablement d\u00e9rob\u00e9es \u00e0 l\u2019aide du ransomware\u00a001flip)<\/li>\n<\/ul>\n<p>Bien que l\u2019impact de CL-CRI-1036 demeure limit\u00e9 \u00e0 ce stade, il est vraisemblable que cette activit\u00e9 soit li\u00e9e aux fuites de donn\u00e9es rapport\u00e9es.<\/p>\n<p>Les clients de Palo\u00a0Alto\u00a0Networks sont mieux prot\u00e9g\u00e9s contre les menaces mentionn\u00e9es dans cet article gr\u00e2ce aux produits et services suivants\u00a0:<\/p>\n<ul>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a><\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> et <a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xsiam\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a><\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xpanse\" target=\"_blank\" rel=\"noopener\">Cortex Xpanse<\/a><\/li>\n<\/ul>\n<p>Si vous pensez que votre entreprise a pu \u00eatre compromise ou si vous faites face \u00e0 une urgence, contactez l\u2019<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">\u00e9quipe Unit\u00a042 de r\u00e9ponse \u00e0 incident<\/a>.<\/p>\n<table style=\"width: 98.7684%;\">\n<thead>\n<tr>\n<td style=\"width: 35%;\"><b>Unit\u00a042 \u2013\u00a0Th\u00e9matiques connexes<\/b><\/td>\n<td style=\"width: 212.567%;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/rust-fr\/\" target=\"_blank\" rel=\"noopener\"><b>Rust<\/b><\/a>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/sliver-fr\/\" target=\"_blank\" rel=\"noopener\">Sliver<\/a><\/strong>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/category\/ransomware-fr\/\" target=\"_blank\" rel=\"noopener\">Ransomware<\/a><\/strong>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/category\/cybercrime-fr\/\" target=\"_blank\" rel=\"noopener\">Cybercrime<\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-168900-_heading=h.v53o27asqmlx\"><\/a>Contexte<\/h2>\n<p>D\u00e9but juin\u00a02025, les chercheurs de Unit\u00a042 ont analys\u00e9 un ex\u00e9cutable Windows suspect. Celui-ci a imm\u00e9diatement retenu notre attention\u00a0: il s\u2019agissait d\u2019un binaire \u00e9crit en Rust pr\u00e9sentant, dans notre sandbox, un comportement typique d\u2019un ransomware.<\/p>\n<p><a href=\"https:\/\/github.com\/PaloAltoNetworks\/Unit42-timely-threat-intel\/blob\/main\/2025-06-24-IOCs-for-01flip-ransomware.txt\" target=\"_blank\" rel=\"noopener\">Notre analyse initiale<\/a> a r\u00e9v\u00e9l\u00e9 qu\u2019il s\u2019agissait d\u2019une nouvelle famille de ransomwares enti\u00e8rement \u00e9crite en Rust, baptis\u00e9e \u00ab\u00a001flip\u00a0\u00bb. Ce nom provient de l\u2019extension ajout\u00e9e aux fichiers (<span style=\"font-family: 'courier new', courier, monospace;\">.01flip<\/span>) et de l\u2019adresse e-mail (<span style=\"font-family: 'courier new', courier, monospace;\">01Flip@proton[.]me<\/span>) figurant dans la note de ran\u00e7on.<\/p>\n<p>Au terme de nos investigations, nous avons \u00e9galement identifi\u00e9 une <a href=\"https:\/\/www.virustotal.com\/gui\/file\/e5834b7bdd70ec904470d541713e38fe933e96a4e49f80dbfb25148d9674f957\/details\" target=\"_blank\" rel=\"noopener\">version Linux du ransomware 01flip<\/a>, qui pr\u00e9sentait encore un taux de d\u00e9tection nul plus de trois mois apr\u00e8s sa soumission initiale \u00e0 VirusTotal.<\/p>\n<h2><a id=\"post-168900-_heading=h.1jc05vdo0i0b\"><\/a>Pr\u00e9sentation de la campagne<\/h2>\n<h3><a id=\"post-168900-_heading=h.1gpptinst4if\"><\/a><strong>Victimologie<\/strong><\/h3>\n<p>Au moment de la r\u00e9daction, nous n\u2019avions observ\u00e9 qu\u2019un nombre tr\u00e8s limit\u00e9 de victimes. Toutefois, ce ransomware a touch\u00e9 des organisations prenant en charge des infrastructures sociales critiques en Asie du Sud-Est.<\/p>\n<p>Au fil de notre enqu\u00eate, nous avons trouv\u00e9 <a href=\"https:\/\/www.bleepingcomputer.com\/forums\/t\/808867\/unknown-01flip-ext-ransomware-attack-zimbra-server\/\" target=\"_blank\" rel=\"noopener\">sur un forum de s\u00e9curit\u00e9 en ligne<\/a> le message d\u2019une personne se pr\u00e9sentant comme victime du ransomware\u00a001flip, affirmant que les attaquants avaient compromis un serveur\u00a0Zimbra, une solution de messagerie destin\u00e9e aux entreprises.<\/p>\n<p>Faute d\u2019informations suffisantes sur les victimes, nous pensons que l\u2019utilisation du ransomware\u00a001flip n'en est qu'\u00e0 ses pr\u00e9mices. Toutefois, il pourrait y avoir plusieurs victimes aux Philippines et \u00e0 Ta\u00efwan. C'est en tout cas ce que sugg\u00e8re une publication sur un forum du dark web qui, selon nous, provient d\u2019un acteur de la menace li\u00e9 \u00e0 CL-CRI-1036.<\/p>\n<h3><a id=\"post-168900-_heading=h.ugu55cbhyyqp\"><\/a><strong>Acc\u00e8s initial<\/strong><\/h3>\n<p>L\u2019analyse du r\u00e9seau d\u2019une victime r\u00e9v\u00e8le que l\u2019attaquant essayait, depuis d\u00e9but avril\u00a02025, d\u2019exploiter d\u2019anciennes vuln\u00e9rabilit\u00e9s \u2013\u00a0notamment <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2019-11580\" target=\"_blank\" rel=\"noopener\">CVE-2019-11580<\/a>\u00a0\u2013 sur des applications expos\u00e9es \u00e0 Internet. La m\u00e9thode d\u2019acc\u00e8s au syst\u00e8me reste inconnue. Un mois plus tard, l\u2019attaquant r\u00e9ussissait cependant \u00e0 d\u00e9ployer une version Linux de <a href=\"https:\/\/github.com\/BishopFox\/sliver\">Sliver<\/a>, un framework open\u00a0source d\u2019\u00e9mulation des modes op\u00e9ratoires des attaquants, multi-plateforme et d\u00e9velopp\u00e9 en Go.<\/p>\n<h3><a id=\"post-168900-_heading=h.j78c07mj0n60\"><\/a><strong>Post-exploitation<\/strong><\/h3>\n<p>Fin mai\u00a02025, l\u2019acteur \u00e0 l\u2019origine de CL-CRI-1036 est parvenu \u00e0 se d\u00e9placer lat\u00e9ralement vers une autre machine\u00a0Linux en t\u00e9l\u00e9chargeant un nouvel implant\u00a0Sliver, configur\u00e9 cette fois en profil <a href=\"https:\/\/github.com\/BishopFox\/sliver\/wiki\/Pivots\/d87b3e15111e7be50dd885be966c35bca629c626#tcp-pivots\" target=\"_blank\" rel=\"noopener\">TCP Pivot<\/a>. Une semaine plus tard, nous avons confirm\u00e9 que les attaquants avaient d\u00e9ploy\u00e9 plusieurs instances du ransomware\u00a001flip sur de nombreux terminaux du r\u00e9seau, aussi bien sous Windows que sous Linux.<\/p>\n<p>Les m\u00e9thodes pr\u00e9cises utilis\u00e9es par les attaquants pour d\u00e9ployer le ransomware apr\u00e8s la compromission initiale restent inconnues. Toutefois, compte tenu de la rapidit\u00e9 \u00e0 laquelle le ransomware s\u2019est propag\u00e9 sur plusieurs appareils, il est tr\u00e8s probable que les attaquants aient men\u00e9 les actions suivantes, possiblement \u00e0 l\u2019aide de Sliver et de ses modules\u00a0:<\/p>\n<ul>\n<li>Reconnaissance directement sur les machines<\/li>\n<li>Extraction d\u2019identifiants<\/li>\n<li>Lat\u00e9ralisation<\/li>\n<\/ul>\n<h2><a id=\"post-168900-_heading=h.w8ql1f3qjrr3\"><\/a>Analyse technique du ransomware\u00a001flip<\/h2>\n<h3><a id=\"post-168900-_heading=h.27776p3gugq8\"><\/a><strong>Analyse initiale<\/strong><\/h3>\n<p>Fin octobre, nous avions identifi\u00e9 des versions Windows et Linux du ransomware\u00a001flip. Contrairement \u00e0 d\u2019autres malwares utilis\u00e9s par des cybercriminels, l\u2019\u00e9chantillon 01flip n\u2019est ni pack\u00e9 ni fortement obfusqu\u00e9. Nous pouvons donc facilement conclure qu\u2019il a \u00e9t\u00e9 compil\u00e9 \u00e0 partir de code source\u00a0Rust, notamment gr\u00e2ce \u00e0 l\u2019extension de fichier (<span style=\"font-family: 'courier new', courier, monospace;\">.rs<\/span>) illustr\u00e9e en Figure\u00a01.<\/p>\n<figure id=\"attachment_168901\" aria-describedby=\"caption-attachment-168901\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-168901 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-442074-168900-1.png\" alt=\"Capture d'\u00e9cran affichant une liste de chemins d'acc\u00e8s \u00e0 des fichiers dans un r\u00e9f\u00e9rentiel de code li\u00e9s \u00e0 diff\u00e9rentes versions et composants du programme. Les extensions de nom de fichier sont surlign\u00e9es en jaune.\" width=\"1000\" height=\"414\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-442074-168900-1.png 1388w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-442074-168900-1-786x325.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-442074-168900-1-768x318.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-168901\" class=\"wp-caption-text\">Figure 1. Cha\u00eenes associ\u00e9es \u00e0 Rust visibles dans l\u2019\u00e9chantillon du ransomware 01flip.<\/figcaption><\/figure>\n<p>La figure 2 illustre les diff\u00e9rences de r\u00e9sultats obtenus avec <a href=\"https:\/\/github.com\/N0fix\/rustbininfo\" target=\"_blank\" rel=\"noopener\">rustbininfo<\/a> entre les \u00e9chantillons\u00a0Windows et Linux. L\u2019outil rustbininfo g\u00e9n\u00e8re une liste de d\u00e9pendances (appel\u00e9es \u00ab\u00a0crates\u00a0\u00bb dans Rust), que nous avons utilis\u00e9e pour comparer les deux \u00e9chantillons.<\/p>\n<p>Hormis les biblioth\u00e8ques propres \u00e0 chaque architecture, on constate que la version de Rust, le hash du commit et les versions des biblioth\u00e8ques correspondent dans l\u2019ensemble. La plupart des fonctionnalit\u00e9s sont donc identiques, m\u00eame si nous avons relev\u00e9 quelques diff\u00e9rences que nous d\u00e9crirons plus loin.<\/p>\n<figure id=\"attachment_168912\" aria-describedby=\"caption-attachment-168912\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-168912 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-444760-168900-2.png\" alt=\"Deux captures d'\u00e9cran c\u00f4te \u00e0 c\u00f4te d'\u00e9chantillons du ransomware 01flip, principalement \u00e9crits dans le langage de programmation Rust. L'\u00e9chantillon de gauche correspond \u00e0 Windows, certaines lignes \u00e9tant surlign\u00e9es en rouge, et celui de droite \u00e0 Linux, certaines lignes \u00e9tant surlign\u00e9es en vert. \" width=\"1000\" height=\"579\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-444760-168900-2.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-444760-168900-2-760x440.png 760w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-444760-168900-2-1210x700.png 1210w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-444760-168900-2-768x444.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-444760-168900-2-1536x889.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-168912\" class=\"wp-caption-text\">Figure 2. Crates majoritairement identiques dans les deux \u00e9chantillons du ransomware 01flip (gauche : Windows, droite : Linux).<\/figcaption><\/figure>\n<p>Le compilateur Rust g\u00e9n\u00e8re g\u00e9n\u00e9ralement un code assembleur plus complexe que celui produit par les compilateurs\u00a0C\/C++ traditionnels. Cette complexit\u00e9 suppl\u00e9mentaire peut rendre la r\u00e9tro-ing\u00e9nierie de malwares \u00e9crits en Rust plus difficile pour les analystes. Malgr\u00e9 cela, les fonctionnalit\u00e9s du malware restent simples et directes.<\/p>\n<h3><a id=\"post-168900-_heading=h.4qqp3iq5t09a\"><\/a><strong>Fonctionnalit\u00e9s du ransomware<\/strong><\/h3>\n<p>Voici un aper\u00e7u du comportement du ransomware\u00a001flip\u00a0:<\/p>\n<ol>\n<li>\u00c9num\u00e9ration de tous les lecteurs possibles (par exemple, de <span style=\"font-family: 'courier new', courier, monospace;\">A<\/span>: \u00e0 <span style=\"font-family: 'courier new', courier, monospace;\">Z<\/span>\ud83d\ude42<\/li>\n<li>Cr\u00e9ation d\u2019une note de ran\u00e7on, <span style=\"font-family: 'courier new', courier, monospace;\">RECOVER-YOUR-FILE.TXT<\/span>, dans tous les r\u00e9pertoires accessibles en \u00e9criture<\/li>\n<li>Renommage des fichiers portant certaines extensions selon la convention suivante\u00a0: <span style=\"font-family: 'courier new', courier, monospace;\">&lt;NOM_D\u2019ORIGINE&gt;.&lt;ID_UNIQUE&gt;.&lt;0 ou 1&gt;.01flip<\/span><\/li>\n<li>Chiffrement des fichiers (AES-128-CBC et RSA-2048)<\/li>\n<li>Suppression de son propre fichier ex\u00e9cutable<\/li>\n<\/ol>\n<h4><a id=\"post-168900-_heading=h.elg0eo5noyxs\"><\/a>Techniques d\u2019\u00e9vasion<\/h4>\n<p>Le ransomware\u00a001flip met en \u0153uvre plusieurs techniques d\u2019\u00e9vasion. Par exemple, les versions\u00a0Linux et Windows sont con\u00e7ues pour utiliser autant que possible des API ou des appels syst\u00e8me de bas niveau, car ces op\u00e9rations se confondent plus facilement avec l\u2019activit\u00e9 normale de l'OS. La Figure\u00a03 pr\u00e9sente un exemple d\u2019API natives utilis\u00e9es dans notre \u00e9chantillon de la version\u00a0Windows de 01flip.<\/p>\n<figure id=\"attachment_168923\" aria-describedby=\"caption-attachment-168923\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-168923 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-450090-168900-3.png\" alt=\"Capture d'\u00e9cran montrant deux lignes de donn\u00e9es.\" width=\"1000\" height=\"82\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-450090-168900-3.png 1366w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-450090-168900-3-786x64.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-450090-168900-3-768x63.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-168923\" class=\"wp-caption-text\">Figure 3. Exemple d\u2019API natives de bas niveau utilis\u00e9es pour lire et \u00e9crire des fichiers dans la version Windows.<\/figcaption><\/figure>\n<p>En outre, la plupart des cha\u00eenes d\u00e9finies par les d\u00e9veloppeurs dans le code du ransomware sont encod\u00e9es. Ces cha\u00eenes ne sont d\u00e9cod\u00e9es qu\u2019au moment de l\u2019ex\u00e9cution\u00a0:<\/p>\n<ul>\n<li>le contenu de la note de ran\u00e7on<\/li>\n<li>le nom du fichier de la note de ran\u00e7on<\/li>\n<li>la liste des extensions<\/li>\n<li>la cl\u00e9 publique RSA<\/li>\n<\/ul>\n<p>L\u2019algorithme d\u00e9code chaque cha\u00eene encod\u00e9e en appliquant une op\u00e9ration\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">SUB<\/span> tous les deux octets, comme suit.<\/p>\n<pre class=\"lang:default decode:true\">from more_itertools import chunked\r\n\r\ndef decrypt_string(enc: bytes) -&gt; str:\r\n\r\nreturn ''.join(chr(chunk[0] - chunk[1]) for chunk in chunked(enc, 2))<\/pre>\n<p>Dans la variante Windows, les cha\u00eenes encod\u00e9es sont int\u00e9gr\u00e9es dans les sections\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">.text<\/span> ou <span style=\"font-family: 'courier new', courier, monospace;\">.data<\/span> en fonction de leur longueur. La Figure\u00a04 montre comment le ransomware\u00a001flip d\u00e9code le mod\u00e8le de la note de ran\u00e7on.<\/p>\n<figure id=\"attachment_168934\" aria-describedby=\"caption-attachment-168934\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-168934 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-452221-168900-4.png\" alt=\"Capture d'\u00e9cran d'un ordinateur affichant une note de ran\u00e7ongiciel dans une interface en ligne de commande, avec une adresse e-mail fournie pour contacter l'auteur. Au-dessus de la note se trouve un bloc de code binaire. \" width=\"1000\" height=\"556\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-452221-168900-4.png 1348w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-452221-168900-4-786x437.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-452221-168900-4-1258x700.png 1258w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-452221-168900-4-768x427.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-168934\" class=\"wp-caption-text\">Figure 4. D\u00e9codage par le ransomware 01flip de la note de ran\u00e7on int\u00e9gr\u00e9e dans le binaire.<\/figcaption><\/figure>\n<p>Des techniques comme l\u2019invocation d\u2019appels syst\u00e8me ou l\u2019usage de cha\u00eenes encod\u00e9es ne constituent pas, \u00e0 elles seules, une strat\u00e9gie d\u2019\u00e9vasion r\u00e9ellement efficace. Comme l\u2019\u00e9chantillon de 01flip que nous avons analys\u00e9 s\u2019ex\u00e9cute normalement dans un environnement sandbox, il reste relativement simple \u00e0 d\u00e9tecter.<\/p>\n<p>La plupart des ransomwares sont relativement simples et bruyants. Cependant, certains \u00e9chantillons de 01flip int\u00e8grent une technique anti-sandbox basique\u00a0: ils v\u00e9rifient si le nom du fichier contient la cha\u00eene \u00ab\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">01flip<\/span>\u00a0\u00bb. Si c\u2019est le cas, le ransomware saute directement \u00e0 la <a href=\"https:\/\/attack.mitre.org\/techniques\/T1070\/\" target=\"_blank\" rel=\"noopener\">suppression d\u2019indicateurs<\/a> sans proc\u00e9der au chiffrement des fichiers.<\/p>\n<h4><a id=\"post-168900-_heading=h.k9n1f2bgz3q8\"><\/a>Chiffrement des donn\u00e9es<\/h4>\n<p>Avant de chiffrer les fichiers, le ransomware\u00a001flip d\u00e9pose des notes de ran\u00e7on dans tous les r\u00e9pertoires accessibles en \u00e9criture. Ces notes contiennent les informations de contact ainsi que les donn\u00e9es de chiffrement n\u00e9cessaires pour obtenir une cl\u00e9 permettant de d\u00e9chiffrer les fichiers de la victime, comme illustr\u00e9 \u00e0 la Figure\u00a05.<\/p>\n<figure id=\"attachment_168945\" aria-describedby=\"caption-attachment-168945\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-168945 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-454979-168900-5.png\" alt=\"\u00c9cran d'ordinateur affichant une note de ran\u00e7ongiciel intitul\u00e9e \u00ab RECOVER-YOUR-FILES.TXT \u00bb dans un logiciel d'\u00e9dition de texte. La note comprend des instructions indiquant de ne pas red\u00e9marrer l'ordinateur, une adresse e-mail de contact \u00ab mp@proton.me \u00bb pour obtenir la cl\u00e9 de d\u00e9chiffrement et une adresse de session pour toute communication ult\u00e9rieure. Certaines informations ont \u00e9t\u00e9 masqu\u00e9es pour des raisons de s\u00e9curit\u00e9. \" width=\"1000\" height=\"340\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-454979-168900-5.png 1894w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-454979-168900-5-786x267.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-454979-168900-5-768x261.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-454979-168900-5-1536x522.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-168945\" class=\"wp-caption-text\">Figure 5. Exemple de note de ran\u00e7on utilis\u00e9e par 01flip.<\/figcaption><\/figure>\n<p>Le ransomware\u00a001flip exclut du chiffrement les fichiers portant certaines extensions. Cette liste d\u2019exclusions peut \u00eatre consult\u00e9e dans <a href=\"#post-168900-_heading=h.s437r6vbbzpg\" target=\"_blank\" rel=\"noopener\">l\u2019Annexe\u00a0A<\/a>. 01flip chiffre les fichiers \u00e0 l\u2019aide de l\u2019algorithme\u00a0AES. La cl\u00e9 de session utilis\u00e9e pour le chiffrement est elle-m\u00eame chiffr\u00e9e au moyen d\u2019une cl\u00e9 publique\u00a0RSA int\u00e9gr\u00e9e. La Figure\u00a06 montre un exemple de cette cl\u00e9\u00a0RSA.<\/p>\n<figure id=\"attachment_168956\" aria-describedby=\"caption-attachment-168956\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-168956 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-457678-168900-6.png\" alt=\"Image affichant un segment de texte cryptographique sur fond bleu, montrant plus pr\u00e9cis\u00e9ment une cl\u00e9 publique commen\u00e7ant par \u00ab BEGIN PUBLIC KEY \u00bb et se terminant par \u00ab END PUBLIC KEY \u00bb.\" width=\"1000\" height=\"238\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-457678-168900-6.png 1292w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-457678-168900-6-786x187.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-457678-168900-6-768x183.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-168956\" class=\"wp-caption-text\">Figure 6. Cl\u00e9 publique RSA issue d\u2019un \u00e9chantillon du ransomware 01flip.<\/figcaption><\/figure>\n<p>Les fichiers chiffr\u00e9s sont ensuite renomm\u00e9s selon la convention <span style=\"font-family: 'courier new', courier, monospace;\">&lt;NOM_D\u2019ORIGINE&gt;.&lt;ID_UNIQUE&gt;.&lt;0 ou 1&gt;.01flip<\/span>, comme illustr\u00e9 \u00e0 la Figure\u00a07.<\/p>\n<figure id=\"attachment_168967\" aria-describedby=\"caption-attachment-168967\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-168967 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-460540-168900-7.png\" alt=\"Capture d'\u00e9cran d'une fen\u00eatre d'explorateur de fichiers informatiques affichant trois fichiers : un fichier image nomm\u00e9 ; un fichier texte intitul\u00e9 \u00ab RECOVER-YOUR-FILE.TXT \u00bb ; et un autre fichier image.\" width=\"1000\" height=\"238\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-460540-168900-7.png 1050w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-460540-168900-7-786x187.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-460540-168900-7-768x183.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-168967\" class=\"wp-caption-text\">Figure 7. Exemple de noms de fichiers chiffr\u00e9s dans un environnement Windows infect\u00e9 par le ransomware 01flip.<\/figcaption><\/figure>\n<h4><a id=\"post-168900-_heading=h.7mxlokcla8js\"><\/a>Suppression des indicateurs<\/h4>\n<p>Une fois le chiffrement termin\u00e9, le ransomware\u00a001flip tente d\u2019effacer toute trace de sa pr\u00e9sence afin d\u2019emp\u00eacher sa r\u00e9cup\u00e9ration sur l\u2019h\u00f4te infect\u00e9. Les variantes\u00a0Windows et Linux ex\u00e9cutent respectivement les commandes suivantes, apr\u00e8s avoir remplac\u00e9 <span style=\"font-family: 'courier new', courier, monospace;\">${self_name}<\/span> par leur nom de fichier actuel.<\/p>\n<pre class=\"lang:default decode:true\"># Windows\r\n\r\nping 127.0.0.7 -n 5 &gt; Nul &amp; fsutil file setZeroData offset=0 length=4194303 ${self_name} &gt; Nul &amp; Del \/f \/q ${self_name}<\/pre>\n<pre class=\"lang:default decode:true \"># Linux\r\n\r\nsleep 5 &amp;&amp; dd if=\/dev\/urandom of=${self_name} bs=1M count=4 &gt; \/dev\/null 2&gt;&amp;1 &amp;&amp; rm ${self_name} &gt; \/dev\/null 2&gt;&amp;1<\/pre>\n<h2><a id=\"post-168900-_heading=h.p14xq1lviuys\"><\/a>Attribution possible<\/h2>\n<h3><a id=\"post-168900-_heading=h.7u73q2696x5x\"><\/a><strong>Activit\u00e9 des attaquants<\/strong><\/h3>\n<p>\u00c0 ce stade, les attaquants impliqu\u00e9s dans cette campagne exigent une ran\u00e7on d\u2019un bitcoin\u00a0(BTC) pour d\u00e9chiffrer les fichiers. Les \u00e9changes se font par e-mail s\u00e9curis\u00e9 ou via un canal de messagerie priv\u00e9. La Figure\u00a08 montre un exemple de cette demande formul\u00e9e dans un message.<\/p>\n<p>Fin octobre, les attaquants derri\u00e8re CL-CRI-1036 ne semblaient pas disposer d\u2019un site de double extorsion, contrairement \u00e0 ce que l\u2019on observe fr\u00e9quemment chez les groupes r\u00e9cents de ransomware-as-a-service\u00a0(RaaS).<\/p>\n<figure id=\"attachment_168978\" aria-describedby=\"caption-attachment-168978\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-168978 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-462592-168900-8.png\" alt=\"Texte demandant le transfert d'un bitcoin vers une adresse flout\u00e9e sur fond sombre.\" width=\"1000\" height=\"228\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-462592-168900-8.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-462592-168900-8-786x179.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-462592-168900-8-1920x437.png 1920w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-462592-168900-8-768x175.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-462592-168900-8-1536x350.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-168978\" class=\"wp-caption-text\">Figure 8. Message envoy\u00e9 par les attaquants dans un canal de messagerie priv\u00e9.<\/figcaption><\/figure>\n<p>De nouvelles investigations ont r\u00e9v\u00e9l\u00e9 une fuite de donn\u00e9es pr\u00e9sum\u00e9e concernant l\u2019organisation touch\u00e9e, publi\u00e9e sur un forum du dark\u00a0web d\u00e8s le lendemain du d\u00e9ploiement du ransomware. La Figure\u00a09 pr\u00e9sente cette publication. Nous n\u2019avons pas pu en v\u00e9rifier l\u2019authenticit\u00e9, mais les r\u00e9actions positives d\u2019autres utilisateurs du forum laissent penser que les donn\u00e9es sont cr\u00e9dibles.<\/p>\n<figure id=\"attachment_168989\" aria-describedby=\"caption-attachment-168989\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-168989 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-464996-168900-9.png\" alt=\"Capture d'\u00e9cran d'un forum du dark web avec une partie du titre d'un message et les informations permettant d'identifier l'auteur du message censur\u00e9es ou flout\u00e9es. La capture d'\u00e9cran fait r\u00e9f\u00e9rence \u00e0 des fuites de donn\u00e9es. \" width=\"1000\" height=\"330\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-464996-168900-9.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-464996-168900-9-786x259.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-464996-168900-9-1920x633.png 1920w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-464996-168900-9-768x253.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-464996-168900-9-1536x506.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-168989\" class=\"wp-caption-text\">Figure 9. Publication relative \u00e0 la fuite de donn\u00e9es pr\u00e9sum\u00e9e sur un forum du dark web.<\/figcaption><\/figure>\n<p>Si l\u2019auteur du message est inscrit sur ce forum depuis avril\u00a02023, nous n\u2019avons identifi\u00e9 que trois messages post\u00e9s depuis juin\u00a02025. Selon cette publication, des victimes auraient \u00e9galement \u00e9t\u00e9 cibl\u00e9es \u00e0 Ta\u00efwan et aux Philippines. Le nom d\u2019utilisateur n\u2019a rien de particuli\u00e8rement distinctif, mais nous avons confirm\u00e9 qu\u2019un utilisateur russophone portant le m\u00eame pseudonyme vend, depuis 2020, des donn\u00e9es et des acc\u00e8s r\u00e9seau sur le forum\u00a0XSS, bien connu sur le dark\u00a0web.<\/p>\n<p>\u00c0 noter que le ransomware\u00a001flip ne permet pas d\u2019exfiltrer des donn\u00e9es\u00a0: le seul lien possible entre cet utilisateur et 01flip est la victime.<\/p>\n<h3><a id=\"post-168900-_heading=h.qe5yr11lrq6h\"><\/a><strong>Recoupement possible avec LockBit\u00a0?<\/strong><\/h3>\n<p>Dans le cadre de notre analyse du ransomware\u00a001flip, nous avons identifi\u00e9 un \u00e9l\u00e9ment particuli\u00e8rement int\u00e9ressant dans la liste des extensions de fichiers exclues du chiffrement \u2013\u00a0\u00e0 savoir \u00ab\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">lockbit<\/span>\u00a0\u00bb (cf. Figure\u00a010).<\/p>\n<figure id=\"attachment_169000\" aria-describedby=\"caption-attachment-169000\" style=\"width: 600px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169000 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-467807-168900-10.png\" alt=\"Capture d'\u00e9cran du code d'assemblage, montrant diverses d\u00e9clarations de donn\u00e9es et commentaires sur un IDE avec un fond bleu.\" width=\"600\" height=\"750\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-467807-168900-10.png 816w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-467807-168900-10-352x440.png 352w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-467807-168900-10-560x700.png 560w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-467807-168900-10-768x960.png 768w\" sizes=\"(max-width: 600px) 100vw, 600px\" \/><figcaption id=\"caption-attachment-169000\" class=\"wp-caption-text\">Figure 10. L'extension <span style=\"font-family: 'courier new', courier, monospace;\">Lockbit<\/span> appara\u00eet dans la liste des extensions exclues du chiffrement par l\u2019\u00e9chantillon du ransomware 01flip.<\/figcaption><\/figure>\n<p>Le fait d\u2019\u00e9viter de chiffrer les fichiers portant cette extension laisse envisager un possible lien entre l\u2019acteur de la menace derri\u00e8re CL-CRI-1036 et le groupe \u00e0 l\u2019origine du ransomware <span style=\"font-family: 'courier new', courier, monospace;\">LockBit<\/span>, que nous suivons sous le nom de Flighty\u00a0Scorpius. Toutefois, en dehors de ce d\u00e9tail inhabituel dans le code, nous n\u2019avons trouv\u00e9 aucun autre \u00e9l\u00e9ment reliant ces deux familles de ransomware.<\/p>\n<h2><a id=\"post-168900-_heading=h.ui094kps0wkb\"><\/a>Conclusion<\/h2>\n<p>Nous avons pr\u00e9sent\u00e9 une activit\u00e9 \u00e9mergente que nous suivons actuellement sous le code CL-CRI-1036, impliquant des attaquants motiv\u00e9s par l'app\u00e2t du gain. Ces derniers utilisent un nouveau ransomware en Rust\u00a0: 01flip. Cette activit\u00e9 illustre les d\u00e9fis auxquels les d\u00e9fenseurs sont confront\u00e9s face \u00e0 des acteurs qui adoptent des langages de programmation modernes pour d\u00e9velopper leurs malwares. D\u2019apr\u00e8s notre analyse, cette campagne en est encore \u00e0 un stade pr\u00e9coce et pourrait \u00eatre li\u00e9e \u00e0 une fuite de donn\u00e9es pr\u00e9sum\u00e9e publi\u00e9e sur un forum du dark\u00a0web.<\/p>\n<h3><a id=\"post-168900-_heading=h.wbiiffkch5mz\"><\/a><strong>Protection et att\u00e9nuation des risques par Palo\u00a0Alto\u00a0Networks<\/strong><\/h3>\n<p>Les clients de Palo\u00a0Alto\u00a0Networks sont mieux prot\u00e9g\u00e9s contre les menaces mentionn\u00e9es ci-dessus gr\u00e2ce aux produits suivants\u00a0:<\/p>\n<ul>\n<li>Les mod\u00e8les de Machine\u00a0Learning d\u2019<a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced\u00a0WildFire<\/a> ont \u00e9t\u00e9 mis \u00e0 jour sur la base des indicateurs de compromission (IoC) identifi\u00e9s dans cette recherche.<\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\">Cortex XDR<\/a> et <a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xsiam\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a> contribuent \u00e0 pr\u00e9venir les menaces d\u00e9crites dans cet article gr\u00e2ce au moteur de pr\u00e9vention des logiciels malveillants. Cette approche combine plusieurs niveaux de protection, notamment <a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">WildFire<\/a>, Behavioral Threat Protection et le module Local Analysis, afin d'emp\u00eacher les logiciels malveillants connus et inconnus de nuire aux terminaux.<\/li>\n<\/ul>\n<p>De plus, le module <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XDR\/Cortex-XDR-3.x-Documentation\/Endpoint-protection-capabilities\" target=\"_blank\" rel=\"noopener\">Anti-Ransomware permet<\/a> \u00e0 Cortex XDR de prot\u00e9ger contre les activit\u00e9s de chiffrement associ\u00e9es aux ransomwares, afin d'aider \u00e0 analyser et \u00e0 stopper les ransomwares avant toute perte de donn\u00e9es.<\/p>\n<ul>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xpanse\" target=\"_blank\" rel=\"noopener\">Cortex Xpanse<\/a> peut aider \u00e0 d\u00e9tecter les instances expos\u00e9es \u00e0 Internet de logiciels non s\u00e9curis\u00e9s, tels que Atlassian Crowd Server, qui a \u00e9t\u00e9 signal\u00e9 comme \u00e9tant exploit\u00e9 par CVE-2019-11580 et conduisant \u00e0 un acc\u00e8s initial.<\/li>\n<\/ul>\n<p>Cortex Xpanse dispose <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XPANSE\/2\/Cortex-Xpanse-Expander-User-Guide\/Attack-surface-rules\" target=\"_blank\" rel=\"noopener\">d'une r\u00e8gle de surface d'attaque<\/a> pour \u00ab Atlassian Crowd Server non s\u00e9curis\u00e9 \u00bb destin\u00e9e \u00e0 identifier cet exemple, ainsi que de nombreuses autres d\u00e9tections pr\u00eates \u00e0 l'emploi pour les applications pr\u00e9sentant des vuln\u00e9rabilit\u00e9s RCE qui sont attrayantes pour les op\u00e9rateurs de ransomware.<\/p>\n<p>Toutes les d\u00e9tections dans Cortex Xpanse sont \u00e9galement disponibles dans Cortex XSIAM dans le cadre du module compl\u00e9mentaire Attack Surface Management (ASM).<\/p>\n<p>Si vous pensez que votre entreprise a pu \u00eatre compromise ou si vous faites face \u00e0 une urgence, contactez <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">l\u2019\u00e9quipe Unit\u00a042 de r\u00e9ponse \u00e0 incident<\/a> ou composez l\u2019un des num\u00e9ros suivants\u00a0:<\/p>\n<ul>\n<li>Am\u00e9rique du Nord\u00a0: Gratuit\u00a0: +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n<li>Royaume-Uni\u00a0: +44\u00a020\u00a03743\u00a03660<\/li>\n<li>Europe et Moyen-Orient\u00a0: +31.20.299.3130<\/li>\n<li>Asie\u00a0: +65.6983.8730<\/li>\n<li>Japon\u00a0: +81\u00a050\u00a01790\u00a00200<\/li>\n<li>Australie\u00a0: +61.2.4062.7950<\/li>\n<li>Inde\u00a0: 000 800 050 45107<\/li>\n<li>Cor\u00e9e du Sud\u00a0: +82.080.467.8774<\/li>\n<\/ul>\n<p>Palo\u00a0Alto\u00a0Networks a partag\u00e9 ces conclusions avec les autres membres de la Cyber\u00a0Threat\u00a0Alliance (CTA). Les membres de la CTA s\u2019appuient sur ces renseignements pour d\u00e9ployer rapidement des mesures de protection aupr\u00e8s de leurs clients et perturber de mani\u00e8re coordonn\u00e9e les activit\u00e9s des cybercriminels. Cliquez ici pour en savoir plus sur la <a href=\"https:\/\/www.cyberthreatalliance.org\" target=\"_blank\" rel=\"noopener\">Cyber Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-168900-_heading=h.fiu0xqrht9ik\"><\/a>Indicateurs de compromission<\/h2>\n<h3><a id=\"post-168900-_heading=h.bl2lxcyfgzvp\"><\/a>\u00c9chantillons malveillants<\/h3>\n<p><strong>Version Windows du ransomware 01flip<\/strong><\/p>\n<ul>\n<li>Hachage SHA-256\u00a0: <span style=\"font-family: 'courier new', courier, monospace;\">6aad1c36ab9c7c44350ebe3a17178b4fd93c2aa296e2af212ab28d711c0889a3<\/span><\/li>\n<li>Taille du fichier\u00a0: 741\u00a0888\u00a0octets<\/li>\n<li>Type de fichier\u00a0: ex\u00e9cutable\u00a0PE32+ (GUI) x86-64 (stripped to external PDB), pour Windows<\/li>\n<\/ul>\n<p><strong>Version Linux du ransomware 01flip<\/strong><\/p>\n<ul>\n<li>Hachage\u00a0SHA-256\u00a0: <span style=\"font-family: 'courier new', courier, monospace;\">e5834b7bdd70ec904470d541713e38fe933e96a4e49f80dbfb25148d9674f957<\/span><\/li>\n<li>Taille du fichier\u00a0: 948\u00a0640\u00a0octets<\/li>\n<li>Type de fichier\u00a0: ex\u00e9cutable\u00a0ELF 64-bit LSB, x86-64, version\u00a01 (SYSV), li\u00e9 en static-pie, stripped<\/li>\n<\/ul>\n<p><strong>Beacon Sliver Linux, profil TCP Pivot utilis\u00e9 comme C2<\/strong><\/p>\n<ul>\n<li>Hachage\u00a0SHA-256\u00a0: <span style=\"font-family: 'courier new', courier, monospace;\">ba41f0c7ea36cefe7bc9827b3cf27308362a4d07a8c97109704df5d209bce191<\/span><\/li>\n<li>Taille du fichier\u00a0: 13\u00a0414\u00a0400\u00a0octets<\/li>\n<li>Type de fichier\u00a0: ex\u00e9cutable ELF 64-bit LSB, x86-64, version 1 (SYSV), li\u00e9 statiquement, stripped<\/li>\n<\/ul>\n<h2><a id=\"post-168900-_heading=h.s437r6vbbzpg\"><\/a>Annexe\u00a0: liste des extensions exclues du chiffrement<\/h2>\n<h3>A-L<\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">01flip<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">386<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">Idf<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">Ink<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">a<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">adv<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ani<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">apk<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">app<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">bat<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">bin<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">cab<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">cmd<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">cpl<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">cur<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">deb<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">deskthemepack<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">diagcab<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">diagcfg<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">diagpkg<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">dll<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">dmg<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">dmp<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">drv<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">encrypt<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">exe<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">fnt<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">fon<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">gadget<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hlp<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hta<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">icl<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">icns<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ico<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ics<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">idx<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ini<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ipa<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">iso<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">key<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">la<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">lnk<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">lock<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">lockbit<\/span><\/li>\n<\/ul>\n<h3><a id=\"post-167849-_krc1yk4cl0b0\"><\/a>M-Z<\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">mod<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">mp3<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">mp4<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">mpa<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">msc<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">msi<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">msp<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">msstyles<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">msu<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">nls<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">nomedia<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">o<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ocx<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">otf<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">part<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">pdb<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">pif<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">prf<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ps1<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">reg<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">rom<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">rpd<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">rtp<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">scr<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">sfcache<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">shs<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">so<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">spl<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">sys<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">theme<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">themepack<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">tmp<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ttf<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">wad<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">wav<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">winmd<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">wma<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">woff<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">wpx<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">xex<\/span><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>01flip est une nouvelle famille de ransomwares enti\u00e8rement \u00e9crite en Rust. L'activit\u00e9 li\u00e9e \u00e0 01flip semble indiquer des fuites de donn\u00e9es sur le dark web.<\/p>\n","protected":false},"author":366,"featured_media":167853,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8733,8805,8832],"tags":[9843,9842,9844,9845,9846,9847,9848,9776],"product_categories":[8979,8955,9041,9053,9077,9064,9151,9178],"coauthors":[9426],"class_list":["post-168900","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybercrime-fr","category-ransomware-fr","category-threat-research-fr","tag-bitcoin-fr","tag-cl-crl-103","tag-cryptocurrency-fr","tag-forums-fr","tag-linux-fr","tag-rust-fr","tag-sliver-fr","tag-windows-fr","product_categories-advanced-wildfire-fr","product_categories-cloud-delivered-security-services-fr","product_categories-cortex-fr","product_categories-cortex-xdr-fr","product_categories-cortex-xpanse-fr","product_categories-cortex-xsiam-fr","product_categories-unit-42-incident-response-fr","product_categories-ransomware-readiness-assessment-fr"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>01flip\u00a0: un ransomware multi-plateforme \u00e9crit en langage\u00a0Rust<\/title>\n<meta name=\"description\" content=\"01flip est une nouvelle famille de ransomwares enti\u00e8rement \u00e9crite en Rust. L&#039;activit\u00e9 li\u00e9e \u00e0 01flip semble indiquer des fuites de donn\u00e9es sur le dark web.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/new-ransomware-01flip-written-in-rust\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"01flip\u00a0: un ransomware multi-plateforme \u00e9crit en langage\u00a0Rust\" \/>\n<meta property=\"og:description\" content=\"01flip est une nouvelle famille de ransomwares enti\u00e8rement \u00e9crite en Rust. L&#039;activit\u00e9 li\u00e9e \u00e0 01flip semble indiquer des fuites de donn\u00e9es sur le dark web.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/fr\/new-ransomware-01flip-written-in-rust\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-12-10T18:16:31+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-12-17T19:15:32+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/05_Ransomware_Category_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Hiroaki Hara\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"01flip\u00a0: un ransomware multi-plateforme \u00e9crit en langage\u00a0Rust","description":"01flip est une nouvelle famille de ransomwares enti\u00e8rement \u00e9crite en Rust. L'activit\u00e9 li\u00e9e \u00e0 01flip semble indiquer des fuites de donn\u00e9es sur le dark web.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/fr\/new-ransomware-01flip-written-in-rust\/","og_locale":"fr_FR","og_type":"article","og_title":"01flip\u00a0: un ransomware multi-plateforme \u00e9crit en langage\u00a0Rust","og_description":"01flip est une nouvelle famille de ransomwares enti\u00e8rement \u00e9crite en Rust. L'activit\u00e9 li\u00e9e \u00e0 01flip semble indiquer des fuites de donn\u00e9es sur le dark web.","og_url":"https:\/\/unit42.paloaltonetworks.com\/fr\/new-ransomware-01flip-written-in-rust\/","og_site_name":"Unit 42","article_published_time":"2025-12-10T18:16:31+00:00","article_modified_time":"2025-12-17T19:15:32+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/05_Ransomware_Category_1920x900.jpg","type":"image\/jpeg"}],"author":"Hiroaki Hara","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/new-ransomware-01flip-written-in-rust\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/new-ransomware-01flip-written-in-rust\/"},"author":{"name":"Sheida Azimi","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"headline":"01flip\u00a0: un ransomware multi-plateforme \u00e9crit en langage\u00a0Rust","datePublished":"2025-12-10T18:16:31+00:00","dateModified":"2025-12-17T19:15:32+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/new-ransomware-01flip-written-in-rust\/"},"wordCount":2889,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/new-ransomware-01flip-written-in-rust\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/05_Ransomware_Category_1920x900.jpg","keywords":["Bitcoin","CL-CRl-103","Cryptocurrency","forums","Linux","Rust","Sliver","Windows"],"articleSection":["Cybercrime","Ransomware","Recherche sur les menaces"],"inLanguage":"fr-FR"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/new-ransomware-01flip-written-in-rust\/","url":"https:\/\/unit42.paloaltonetworks.com\/fr\/new-ransomware-01flip-written-in-rust\/","name":"01flip\u00a0: un ransomware multi-plateforme \u00e9crit en langage\u00a0Rust","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/new-ransomware-01flip-written-in-rust\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/new-ransomware-01flip-written-in-rust\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/05_Ransomware_Category_1920x900.jpg","datePublished":"2025-12-10T18:16:31+00:00","dateModified":"2025-12-17T19:15:32+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"description":"01flip est une nouvelle famille de ransomwares enti\u00e8rement \u00e9crite en Rust. L'activit\u00e9 li\u00e9e \u00e0 01flip semble indiquer des fuites de donn\u00e9es sur le dark web.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/new-ransomware-01flip-written-in-rust\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/fr\/new-ransomware-01flip-written-in-rust\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/new-ransomware-01flip-written-in-rust\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/05_Ransomware_Category_1920x900.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/05_Ransomware_Category_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of 01flip ransomware written in Rust. Digital artwork of a pixelated U.S. dollar bill disintegrating into small blocks against a blue data matrix background."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/new-ransomware-01flip-written-in-rust\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"01flip\u00a0: un ransomware multi-plateforme \u00e9crit en langage\u00a0Rust"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639","name":"Sheida Azimi","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Sheida Azimi"},"url":"https:\/\/unit42.paloaltonetworks.com\/fr\/author\/sheida-azimi\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/168900","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/users\/366"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/comments?post=168900"}],"version-history":[{"count":1,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/168900\/revisions"}],"predecessor-version":[{"id":169018,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/168900\/revisions\/169018"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media\/167853"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media?parent=168900"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/categories?post=168900"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/tags?post=168900"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/product_categories?post=168900"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/coauthors?post=168900"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}