Quatre nouveaux gangs de rançongiciels qu’il faut connaître

Alors que les forces de l’ordre et les agences de renseignement de nombreux pays chassent les gangs de rançongiciels, il n’est pas surprenant que certains groupes de vétérans se dissolvent, restent dans l’ombre ou abandonnent leurs marques et redémarrent sous de nouveaux noms. Pourtant, malgré cette attention des autorités, de nouveaux cybercriminels ne cessent d’émerger, comme l’illustrent deux rapports récents.

Source : guruXOOX / Getty

Un rapport de chercheurs de Cyble, basée aux États-Unis, identifie trois nouveaux groupes qui ne seraient pas associés aux groupes existants :

RedAlert, qui cible à la fois les serveurs Windows et Linux VMware ESXi sur les réseaux d’entreprise. Le rançongiciel arrête toutes les machines virtuelles en cours d’exécution et crypte tout fichier lié aux machines virtuelles, comme les disques virtuels, note le rapport. RedAlert accepte uniquement les paiements de rançon au moyen de Monero, ce qui est plutôt atypique pour les gangs de rançongiciels, indique le rapport.

Les cybercriminels derrière RedAlert le déclenchent manuellement, ce qui signifie qu’il est exécuté après une prise de contrôle complète du système de la victime. L’exécutable du rançongiciel fournit diverses options pour effectuer des opérations de pré-chiffrement telles que l’arrêt de toutes les machines virtuelles s’exécutant sur VMware ESXi, des tests de performances de chiffrement asymétrique, etc.

Le rançongiciel utilise l’algorithme de chiffrement à clé publique NTRUEncrypt pour le chiffrement, en ciblant les fichiers de journaux (.log), les fichiers d’échange (.vswp), les disques virtuels (.vmdk), les fichiers d’instantanés (.vmsn) et les fichiers mémoire (.vmem) des machine virtuelles VMware ESXi. Après le cryptage, le rançongiciel ajoute une extension « .crypt[nombre aléatoire] » au fichier.

Omega est soupçonné de cibler des organisations en utilisant des techniques de double extorsion, ce qui signifie que le gang derrière lui vole des données avant de chiffrer les serveurs des victimes, puis menace de vendre les données copiées à moins que la victime ne paie pour les clés de déchiffrement. Les indicateurs de compromission de cette souche de rançongiciel ne sont pas disponibles.

Lilith tire son nom de l’ajout de l’extension « .lilith » aux fichiers cryptés. Les victimes disposent de trois jours pour négocier le prix du logiciel de décryptage. À défaut, le cybercriminel menace de commencer à divulguer des données personnelles copiées.

Les chercheurs notent que le logiciel malveillant Lilith peut affecter de nombreux types de fichiers et les rendre complètement inutilisables.

— Le rançongiciel Luna. Ces derniers jours, Kaspersky a publié un rapport sur cette nouvelle souche, qui est écrite en Rust et fonctionne sur les systèmes Windows, Linux et ESXi.

Pour plus de détails, l’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Lire aussi :

La marque de rançongiciel Conti est morte, mais le groupe se restructure

Les RSI canadiens privilégient la prévention dans la lutte aux rançongiciels

Les tendances des rançongiciels

Adaptation et traduction française par Renaud Larue-Langlois

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected].

Articles connexes

Les autorités suppriment l’infrastructure de Qakbot et lancent des commandes pour supprimer le maliciel

La police de sept pays, dont les États-Unis, a déclaré mardi avoir infiltré et détruit l'infrastructure derrière le réseau zombie Qakbot, puis utilisé cet accès pour commander aux ordinateurs infectés de supprimer le logiciel malveillant.

Le ​​Centre pour la cybersécurité avertit encore une fois les entreprises canadiennes de ne pas ignorer la cybercriminalité

La principale agence de cybersécurité du Canada a une fois de plus mis en garde les responsables informatiques, les dirigeants d'entreprise et les résidents des risques s'ils ne sont pas préparés à la cybercriminalité.

Une division américaine de la CIBC semble avoir été victime du piratage de MOVEit

La division américaine d'une autre banque canadienne a apparemment été victime de la vulnérabilité du serveur de transfert de fichiers MOVEit.

Le gang de rançongiciels Cuba à la recherche d’installations Veeam non corrigées

Le gang de rançongiciels Cuba a modifié sa stratégie d'attaque pour s'attaquer aux environnements informatiques qui n'ont pas corrigé une vulnérabilité récemment découverte dans les solutions de sauvegarde de Veeam Software.

Comment le jeune gang de rançongiciels INC a frappé une victime

Selon les chercheurs de Huntress, le nouveau gang de rançongiciels INC n'a pas mis plus d'une semaine – et peut-être moins – pour pénétrer et chiffrer les systèmes informatiques d'une organisation.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.