La semaine dernière dans le monde du rançongiciel – lundi 18 juillet 2022

Son successeur sera-t-il appelé Frazier ?

« Lilith » est le nom de l’une des nouvelles variétés de rançongiciels identifiées dans un récent rapport de la société de sécurité Cyble dans un blog intitulé New Ransomware Groups on the Rise. Pour les amateurs de trivia, Lilith était, dans la mythologie judaïque la première épouse d’Adam qui a été supplantée par Eve et est devenue un esprit maléfique. Le nom est probablement plus familier aux fans de la série à succès des années 90 « Frazier ».

Source : guruXOOX / Getty

Lilith est un autre membre de la famille des variétés dites de ” double extorsion “- il vole d’abord les données, puis les chiffre sur la machine ciblée et demande une rançon pour la clé de déchiffrement. La note de rançon se trouve dans un fichier appelé Restore_Your_Files.txt. Les victimes disposent de trois jours pour négocier le prix du logiciel de décryptage. Si la rançon n’est pas payée dans ce délai, les cyber-escrocs menacent de commencer à divulguer les données.

Avec un nom moins original, mais tout aussi ou même plus dangereuse, une autre variété de rançongiciel nommée dans le rapport, RedAlert ou N13V, crypte les fichiers virtuels et les disques virtuels. Il cible les serveurs Windows et Linux VMWare ESXi.

RedAlert est déclenché manuellement. Les cybercriminels effectuent d’abord une prise de contrôle complète du système, puis exécutent des fonctions telles que l’arrêt de toutes les machines virtuelles avant d’exécuter l’attaque, en s’assurant que tous les fichiers sont chiffrés.

RedAlert accepte uniquement les paiements de rançon qu’au moyen de Monero, ce qui le rend quelque peu unique parmi les gangs de rançongiciels. Selon Wikipedia, « Monero est une crypto-monnaie décentralisée… avec des technologies améliorant la confidentialité qui obscurcissent les transactions pour atteindre l’anonymat et la fongibilité. Les observateurs ne peuvent pas déchiffrer les adresses d’échange de Monero, les montants des transactions, les soldes des adresses ou les historiques des transactions.

AlphV/BackCat – Le chat revient en force

Le gang de rançongiciels BlackCat (alias AlphV) a repris ses activités. Il a récemment affirmé avoir attaqué la société de jeux japonaise Bandai Namco et volé des données d’entreprise.

Bandai Namco publie des jeux vidéo populaires tels que Elden Ring, Dark Souls, Pac-Man, Tekken, Gundam, Soulcalibur, etc. L’entreprise a confirmé avoir été victime d’une cyberattaque.

Le gang de rançongiciels AlphV/BlackCat a commencé ses opérations en novembre 2021 et on croit généralement qu’il serait une nouvelle image du gang DarkSide/BlackMatter. Celui-ci avait attiré l’attention du monde entier lorsqu’il avait attaqué Colonial Pipelines.

Alors que l’attaque contre Colonial a propulsé le gang vers une renommée internationale, elle a également attiré tout le poids des forces de l’ordre mondiales. Par la suite, le gang est resté discret pendant une brève période, pour reprendre ses activités en tant qu’AlphV/Black Cat.

Il est par la suite redevenu l’une des principales menaces de rançongiciels au monde et, en avril, le FBI a publié un avertissement indiquant que BlackCat avait attaqué plus de 60 entités dans le monde.

Une sortie avec fracas – et un décrypteur gratuit

Le cybercriminel derrière le ransomware AstraLocker a annoncé cette semaine qu’il fermait ses portes et prévoyait passer au cryptomining. Au moment de sa sortie, il a fourni un fichier zip avec un décrypteur gratuit pour toute personne compromise par leur rançongiciel.

Le groupe est s’en est allé avec cette citation ironique (du moins nous l’espérons) :

« C’était amusant, et les choses amusantes finissent toujours par se terminer. Je ferme l’opération, les décrypteurs sont dans des fichiers zip, propres. Je reviendrai », a déclaré le développeur d’AstraLocker. « J’en ai fini avec les rançongiciels pour le moment. Je me lance dans le cryptojaking lol ».

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Lire aussi – lundi 11 juillet 2022

La semaine dernière dans le monde du rançongiciel – lundi 11 juillet 2022

La semaine dernière dans le monde du rançongiciel – lundi 4 juillet 2022

Les RSI canadiens privilégient la prévention dans la lutte aux rançongiciels

Adaptation et traduction française par Renaud Larue-Langlois

Articles connexes

L’Orchestre symphonique de Toronto affecté par l’attaque de rançongiciel de WordFly

L'un des plus grands orchestres du Canada fait partie des organisations nord-américaines victimes collatérales d'une attaque de rançongiciel plus tôt ce mois-ci sur WordFly, une plateforme de communication et de marketing numérique utilisée par les entreprises du domaine des arts, du divertissement, de la culture et du sport.

Une petite ville ontarienne victime d’un rançongiciel

St. Mary's, en Ontario, une ville d'environ 7 500 habitants située une heure et demie au nord-ouest de Toronto en est au cinquième jour à faire face à une attaque de rançongiciel qui a crypté des données.

Les gouvernements doivent faire plus pour lutter contre les rançongiciels

Les gouvernements et les régulateurs doivent faire plus pour contrer les groupes et les individus derrière les attaques de rançongiciels, déclare un groupe représentant les compagnies d'assurance mondiales.

Quatre nouveaux gangs de rançongiciels qu’il faut connaître

Alors que les forces de l'ordre et les agences de renseignement de nombreux pays chassent les gangs de rançongiciels, il n'est pas surprenant que certains groupes de vétérans se dissolvent, restent dans l’ombre ou abandonnent leurs marques et redémarrent sous de nouveaux noms. Pourtant, malgré cette attention des autorités, de nouveaux cybercriminels ne cessent d'émerger, comme l'illustrent deux rapports récents.

La semaine dernière dans le monde du rançongiciel – lundi 11 juillet 2022

Une diminution des attaques, ou le « calme plat avant la tempête » ? Publication du rapport du second trimestre de Cyberint sur les rançongiciels.