Édouard
Toutes les deux semaines, FortiGuard Labs collecte des données sur les variantes de ransomwares qui ont évolué dans sa base de données et dans la communauté Open Source Intelligence (OSINT). Cl0p et Rancoz, découvrez en quoi ils consistent, quel est leur impact, comment fonctionnent-ils et qui sont les principales victimes ?
Rançongiciel Cl0p
L’histoire du ransomware Cl0p remonte au début de l’année 2019 et est généralement associée à des motivations financières avec l’acteur malveillant FIN11 (également connu sous le nom de TA505 ou Snakefly), connu pour cibler des organisations en Amérique du Nord et en Europe. Habituellement, FIN11 diffuse le ransomware Cl0p sur le réseau des victimes pour crypter les fichiers après avoir volé des informations.
À un certain stade de ses opérations, le groupe FIN11 a adapté la stratégie d’implantation des ransomwares et a commencé à se consacrer exclusivement à l’exfiltration des informations des victimes à des fins d’extorsion. Les variantes implémentées du ransomware Cl0p ajoutent une nouvelle extension aux fichiers qu’elles chiffrent – les extensions incluent, sans s’y limiter, « .Clop », « .Cl0p », « .C_L_O_P », « .C_I_0P » et « .Cllp ».
Les notes de rançon du ransomware Cl0p sont intitulées « ClopReadMe.txt », « README_README.txt » et « !!!_READ_!!!.RTF » et Cl0p est également associé à l’utilisation des outils de post-exploitation Cobalt Strike, des shells Web comme DEWMODE. et LEMURLOOT, SDBot et le cheval de Troie d’accès à distance FlawedAmmyy (RAT). FIN11 est également connu pour utiliser le spear phishing pour cibler ses victimes. Récemment, FIN11 a profité de la vulnérabilité d’injection SQL MOVEit Transfer (CVE-2023-34362) pour lancer avec succès l’accès aux réseaux des victimes.
Au 15 juillet 2023, le service FortiRecon de Fortinet a identifié 419 organisations victimes sur le site de fuite de données Cl0p.
Selon les données collectées via le service FortiRecon de Fortinet, le groupe de ransomware Cl0p a attaqué plusieurs secteurs industriels entre janvier et juin 2023, allant des services aux entreprises, suivis des logiciels et de la finance. Lorsque les organisations de victimes sont classées par pays, les États-Unis arrivent en tête avec une marge significative. Par région, près des trois quarts des victimes se trouvent en Amérique du Nord et en Europe. En savoir plus ici.
Rançongiciel Rancoz
Cela ne fait que quelques mois que le ransomware Rancoz a attiré l’attention du public pour la première fois. Il est cependant important de faire connaître cette variante du ransomware, car la victime la plus récente identifiée sur le site de fuite de données TOR remonte à la mi-juin.
La première victime enregistrée de Rancoz, selon son site Internet TOR, s’est produite en novembre 2022. Le mode opératoire de Rancoz est similaire à celui d’autres groupes, qui consiste à crypter des fichiers sur des machines compromises, à voler des informations et à extorquer de l’argent aux victimes.
Une fois exécuté, le ransomware Rancoz énumère tous les lecteurs locaux et crypte les fichiers, sauf indication contraire des attaquants. Il ajoute une extension « .rec_rans » aux fichiers et laisse une note de rançon nommée « HOW_TO_RECOVERY_FILES.txt » [sic]. De plus, le ransomware supprime les copies cachées en exécutant la commande « /c vssadmin.exe Supprimer Shadows /All /Quiet », ce qui rend la récupération de fichiers difficile. Il supprime ensuite le registre « HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default\ » tout en réinitialisant le registre « HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers\ ». La suppression de ces clés de registre peut empêcher les victimes de se connecter à des serveurs distants pour récupérer des fichiers.
Au moment de l’enquête Fortinet, le groupe ransomware Rancoz comptait trois victimes issues de différents secteurs identifiées sur son site de fuite de données. Deux victimes se trouvent aux États-Unis et l’autre au Canada. En savoir plus ici.
Envie de vous détendre un peu ? Voici un reportage très intéressant sur l’intelligence artificielle :
