Rclone identifié comme un outil malveillant associé à des échantillons de ransomware.

Hachages SHA256 associés à Rclone

9E42E07073E03BDEA4CD978D9E7B44A9574972818593306BE1F3DCFDEE722238   rclone-v1.59.2-windows-amd64\git-log.txt
19ED36F063221E161D740651E6578D50E0D3CACEE89D27A6EBED4AB4272585BD   rclone-v1.59.2-windows-amd64\rclone.1
54E3B5A2521A84741DC15810E6FED9D739EB8083CB1FE097CB98B345AF24E939   rclone-v1.59.2-windows-amd64\rclone.exe
EC16E2DE3A55772F5DFAC8BF8F5A365600FAD40A244A574CBAB987515AA40CBF   rclone-v1.59.2-windows-amd64\README.html
475D6E80CF4EF70926A65DF5551F59E35B71A0E92F0FE4DD28559A9DEBA60C28   rclone-v1.59.2-windows-amd64\README.txt

• Palo Alto Networks firewall
• Anti-virus
• Wildfire
• Renseignement sur les menaces

• Rclone est un programme informatique open source, multithread, en ligne de commande pour gérer ou migrer du contenu sur le cloud et d’autres stockages à latence élevée.
• Ses capacités incluent la synchronisation, le transfert, la crypte, le cache, l’union, la compression et le montage.
• Le site Web rclone répertorie les backends pris en charge, notamment S3 et Google Drive.

1. Rclone n’est pas un rançongiciel; C'est un outil légitime utilisé abusivement comme outil d'exfiltration lors d'une infection par ransomware.
2. Une fois que l’adversaire contrôle le réseau de l’entreprise, Rclone est déployé pour copier les données sensibles sur un serveur distant.
3. Il a une utilisation légitime pour la sauvegarde ou le transfert de données. À ce stade, nous n’envisageons IPSpas de signatures pour détecter RcloneIDS .

• Nous avons introduit Rclone App-ID pour identifier le trafic pour cette application. Plus d’informations peuvent être trouvées dans notre page Applipedia
• Nous garderons également Rclone tel quel BENIGN , Wildfire car il est largement utilisé par IT les clients.