Quatre nouveaux gangs de rançongiciels qu’il faut connaître

Alors que les forces de l’ordre et les agences de renseignement de nombreux pays chassent les gangs de rançongiciels, il n’est pas surprenant que certains groupes de vétérans se dissolvent, restent dans l’ombre ou abandonnent leurs marques et redémarrent sous de nouveaux noms. Pourtant, malgré cette attention des autorités, de nouveaux cybercriminels ne cessent d’émerger, comme l’illustrent deux rapports récents.

Source : guruXOOX / Getty

Un rapport de chercheurs de Cyble, basée aux États-Unis, identifie trois nouveaux groupes qui ne seraient pas associés aux groupes existants :

RedAlert, qui cible à la fois les serveurs Windows et Linux VMware ESXi sur les réseaux d’entreprise. Le rançongiciel arrête toutes les machines virtuelles en cours d’exécution et crypte tout fichier lié aux machines virtuelles, comme les disques virtuels, note le rapport. RedAlert accepte uniquement les paiements de rançon au moyen de Monero, ce qui est plutôt atypique pour les gangs de rançongiciels, indique le rapport.

Les cybercriminels derrière RedAlert le déclenchent manuellement, ce qui signifie qu’il est exécuté après une prise de contrôle complète du système de la victime. L’exécutable du rançongiciel fournit diverses options pour effectuer des opérations de pré-chiffrement telles que l’arrêt de toutes les machines virtuelles s’exécutant sur VMware ESXi, des tests de performances de chiffrement asymétrique, etc.

Le rançongiciel utilise l’algorithme de chiffrement à clé publique NTRUEncrypt pour le chiffrement, en ciblant les fichiers de journaux (.log), les fichiers d’échange (.vswp), les disques virtuels (.vmdk), les fichiers d’instantanés (.vmsn) et les fichiers mémoire (.vmem) des machine virtuelles VMware ESXi. Après le cryptage, le rançongiciel ajoute une extension « .crypt[nombre aléatoire] » au fichier.

Omega est soupçonné de cibler des organisations en utilisant des techniques de double extorsion, ce qui signifie que le gang derrière lui vole des données avant de chiffrer les serveurs des victimes, puis menace de vendre les données copiées à moins que la victime ne paie pour les clés de déchiffrement. Les indicateurs de compromission de cette souche de rançongiciel ne sont pas disponibles.

Lilith tire son nom de l’ajout de l’extension « .lilith » aux fichiers cryptés. Les victimes disposent de trois jours pour négocier le prix du logiciel de décryptage. À défaut, le cybercriminel menace de commencer à divulguer des données personnelles copiées.

Les chercheurs notent que le logiciel malveillant Lilith peut affecter de nombreux types de fichiers et les rendre complètement inutilisables.

— Le rançongiciel Luna. Ces derniers jours, Kaspersky a publié un rapport sur cette nouvelle souche, qui est écrite en Rust et fonctionne sur les systèmes Windows, Linux et ESXi.

Pour plus de détails, l’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Lire aussi :

La marque de rançongiciel Conti est morte, mais le groupe se restructure

Les RSI canadiens privilégient la prévention dans la lutte aux rançongiciels

Les tendances des rançongiciels

Adaptation et traduction française par Renaud Larue-Langlois

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected]

Articles connexes

Un gang de rançongiciels offre un décrypteur à l’hôpital SickKids de Toronto

Dans des excuses du Nouvel An, le gang de rançongiciels LockBit a exprimé ses regrets d'avoir attaqué l'hôpital pour enfants malades (SickKids) de Toronto et a envoyé un décrypteur gratuit afin que les fichiers puissent être déchiffrés.

Un hôpital pour enfants de Toronto confirme avoir été frappé par un rançongiciel

Dans une déclaration en ligne aujourd'hui, l'hôpital a déclaré qu'il prévoyait qu'il ne faudrait que quelques semaines avant que tous les systèmes fonctionnent normalement. Il n'y a aucune preuve à ce jour que les renseignements personnels généraux ou sur la santé aient été touchés.

Un cyberincident pourrait coûter 25 millions de dollars à la chaîne de supermarchés Empire

La chaîne de supermarchés canadienne Empire Co. pourrait devoir essuyer une perte de 25 millions de dollars canadiens pour des coûts non couverts par la cyberassurance suite à la cyberattaque qu'elle a subie le mois dernier.

Aliments Maple Leaf confirme avoir été victime d’un rançongiciel et ne paiera pas la rançon

Le gang de rançongiciels Black Basta répertorie désormais le transformateur de viande canadien Aliments Maple Leaf parmi ses victimes. Ce n'est pas clair, mais cela pourrait être lié au cyberincident que la société a reconnu plus tôt ce mois-ci.