Quatre nouveaux gangs de rançongiciels qu’il faut connaître

Alors que les forces de l’ordre et les agences de renseignement de nombreux pays chassent les gangs de rançongiciels, il n’est pas surprenant que certains groupes de vétérans se dissolvent, restent dans l’ombre ou abandonnent leurs marques et redémarrent sous de nouveaux noms. Pourtant, malgré cette attention des autorités, de nouveaux cybercriminels ne cessent d’émerger, comme l’illustrent deux rapports récents.

Source : guruXOOX / Getty

Un rapport de chercheurs de Cyble, basée aux États-Unis, identifie trois nouveaux groupes qui ne seraient pas associés aux groupes existants :

RedAlert, qui cible à la fois les serveurs Windows et Linux VMware ESXi sur les réseaux d’entreprise. Le rançongiciel arrête toutes les machines virtuelles en cours d’exécution et crypte tout fichier lié aux machines virtuelles, comme les disques virtuels, note le rapport. RedAlert accepte uniquement les paiements de rançon au moyen de Monero, ce qui est plutôt atypique pour les gangs de rançongiciels, indique le rapport.

Les cybercriminels derrière RedAlert le déclenchent manuellement, ce qui signifie qu’il est exécuté après une prise de contrôle complète du système de la victime. L’exécutable du rançongiciel fournit diverses options pour effectuer des opérations de pré-chiffrement telles que l’arrêt de toutes les machines virtuelles s’exécutant sur VMware ESXi, des tests de performances de chiffrement asymétrique, etc.

Le rançongiciel utilise l’algorithme de chiffrement à clé publique NTRUEncrypt pour le chiffrement, en ciblant les fichiers de journaux (.log), les fichiers d’échange (.vswp), les disques virtuels (.vmdk), les fichiers d’instantanés (.vmsn) et les fichiers mémoire (.vmem) des machine virtuelles VMware ESXi. Après le cryptage, le rançongiciel ajoute une extension « .crypt[nombre aléatoire] » au fichier.

Omega est soupçonné de cibler des organisations en utilisant des techniques de double extorsion, ce qui signifie que le gang derrière lui vole des données avant de chiffrer les serveurs des victimes, puis menace de vendre les données copiées à moins que la victime ne paie pour les clés de déchiffrement. Les indicateurs de compromission de cette souche de rançongiciel ne sont pas disponibles.

Lilith tire son nom de l’ajout de l’extension « .lilith » aux fichiers cryptés. Les victimes disposent de trois jours pour négocier le prix du logiciel de décryptage. À défaut, le cybercriminel menace de commencer à divulguer des données personnelles copiées.

Les chercheurs notent que le logiciel malveillant Lilith peut affecter de nombreux types de fichiers et les rendre complètement inutilisables.

— Le rançongiciel Luna. Ces derniers jours, Kaspersky a publié un rapport sur cette nouvelle souche, qui est écrite en Rust et fonctionne sur les systèmes Windows, Linux et ESXi.

Pour plus de détails, l’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Lire aussi :

La marque de rançongiciel Conti est morte, mais le groupe se restructure

Les RSI canadiens privilégient la prévention dans la lutte aux rançongiciels

Les tendances des rançongiciels

Adaptation et traduction française par Renaud Larue-Langlois

Howard Solomon
Howard Solomon
Howard Solomon est le rédacteur en chef du portail ITworldcanada.com.

Articles connexes

L’Orchestre symphonique de Toronto affecté par l’attaque de rançongiciel de WordFly

L'un des plus grands orchestres du Canada fait partie des organisations nord-américaines victimes collatérales d'une attaque de rançongiciel plus tôt ce mois-ci sur WordFly, une plateforme de communication et de marketing numérique utilisée par les entreprises du domaine des arts, du divertissement, de la culture et du sport.

Une petite ville ontarienne victime d’un rançongiciel

St. Mary's, en Ontario, une ville d'environ 7 500 habitants située une heure et demie au nord-ouest de Toronto en est au cinquième jour à faire face à une attaque de rançongiciel qui a crypté des données.

Les gouvernements doivent faire plus pour lutter contre les rançongiciels

Les gouvernements et les régulateurs doivent faire plus pour contrer les groupes et les individus derrière les attaques de rançongiciels, déclare un groupe représentant les compagnies d'assurance mondiales.

La semaine dernière dans le monde du rançongiciel – lundi 18 juillet 2022

« Lilith » est le nom de l'une des nouvelles variétés de rançongiciels identifiées dans un récent rapport de la société de sécurité Cyble dans un blog intitulé New Ransomware Groups on the Rise.

La semaine dernière dans le monde du rançongiciel – lundi 11 juillet 2022

Une diminution des attaques, ou le « calme plat avant la tempête » ? Publication du rapport du second trimestre de Cyberint sur les rançongiciels.