Nous avons vu les développeurs du ransomware Maze réapparaître brièvement cette semaine alors qu’ils partageaient les clés de déchiffrement principales pour les opérations de ransomware Egregor, Maze et Sekhmet.
Après que l’opération de rançongiciel Maze a commencé à s’arrêter en octobre 2020, il a toujours espéré qu’ils publieraient publiquement les décryptages pour permettre aux victimes restantes de récupérer leurs fichiers.
Mardi soir, près de quatorze mois plus tard, le développeur présumé du rançongiciel a publié les clés de déchiffrement dans un message du forum EZpublish-france.fr.
Bien que le développeur affirme avoir toujours prévu de publier les clés, on pense généralement qu’il l’a fait maintenant en signe de bonne volonté en raison des récentes arrestations et saisies de serveurs.
Grâce à ces clés, la société de cybersécurité Emsisoft a créé un décrypteur permettant aux victimes de récupérer leurs fichiers gratuitement.
L’autre grande nouvelle est la condamnation d’un ransomware affilié à Netwalker au Canada, qui a obtenu plus de 27,6 millions de dollars en attaquant des entreprises du monde entier. Après avoir plaidé coupable, l’affilié a été condamné à 6 ans et huit mois de prison.
Les autres nouvelles intéressantes de cette semaine sur les ransomwares incluent la publication des détails techniques du ransomware LockBit 2.0 par le FBI, un décrypteur gratuit pour le ransomware TargetCompany, et l’annonce par Puma d’une violation de données due à l’attaque du ransomware Kronos.
Les contributeurs et ceux qui ont fourni de nouvelles informations et histoires sur les rançongiciels cette semaine incluent : @Seifreed, @billtoulas, @malwareforme, @VK_Intel, @BleepinComputer, @FourOctets, @DanielGallagher, @serghei, @malwrhunterteam, @jorntvdw, @fwosar, @Ionut_Ilascu, @PolarToffee, @LawrenceAbrams, @ demonslay335, @struppigel, @chainalysis, @emsisoft, @Avast, @LadislavZezula, @coveware, @ddd1ms, @BrettCallow, @pcrisk, @USCERT_govet @CISAgov.
5 février 2022
Le rançongiciel BlackCat (ALPHV) lié aux gangs BlackMatter et DarkSide
Le gang de rançongiciels Black Cat, également connu sous le nom d’ALPHV, a confirmé qu’il était d’anciens membres de la célèbre opération de rançongiciel BlackMatter/DarkSide.
Le FBI partage les détails techniques du rançongiciel Lockbit et des conseils de défense
Le Federal Bureau of Investigation (FBI) a publié des détails techniques et des indicateurs de compromission associés aux attaques du rançongiciel LockBit dans une nouvelle alerte flash publiée ce vendredi.
6 février 2022
L’action des forces de l’ordre pousse les gangs de rançongiciels à des attaques chirurgicales
Les nombreuses opérations d’application de la loi qui ont conduit à l’arrestation et au retrait d’opérations de rançongiciels en 2021 ont forcé les acteurs de la menace à réduire leur champ de ciblage et à maximiser l’efficacité de leurs opérations.
7 février 2022
Décrypteur gratuit publié pour les victimes du rançongiciel TargetCompany
La société tchèque de logiciels de cybersécurité Avast a publié un utilitaire de décryptage pour aider les victimes du rançongiciel TargetCompany à récupérer leurs fichiers gratuitement.
Puma victime d’une violation de données après l’attaque du rançongiciel Kronos
Le fabricant de vêtements de sport Puma a été touché par une violation de données à la suite de l’attaque de ransomware qui a frappé Kronos, l’un de ses fournisseurs nord-américains de services de gestion de la main-d’œuvre, en décembre 2021.
Nouvelles variantes de STOP Ransomware
PCrisque trouvé de nouvelles variantes de ransomware STOP qui ajoutent les extensions .cuag et .avyu.
8 février 2022
Un affilié du rançongiciel NetWalker condamné à 80 mois de prison
Sébastien Vachon-Desjardins, un Canadien inculpé par les États-Unis pour son implication dans les attaques de rançongiciels NetWalker, a été condamné à 6 ans et 8 mois de prison après avoir plaidé coupable devant un juge ontarien à de multiples infractions liées à des attaques contre 17 victimes canadiennes.
9 février 2022
Le développeur de Ransomware publie Egregor, les clés de déchiffrement principales de Maze
Les clés de déchiffrement principales pour les opérations de rançongiciel Maze, Egregor et Sekhmet ont été publiées hier soir sur les forums EZpublish-france.fr par le développeur présumé de logiciels malveillants.
Emsisoft sort un décrypteur pour Maze / Sekhmet / Egregor
Emsisoft a créé un décrypteur permettant aux victimes de Maze, Sekhmet et Egregor de récupérer leurs fichiers gratuitement.
Nouvelles variantes de Phobos Ransomware
PCrisk a trouvé une nouvelle variante du rançongiciel Phobos qui ajoute l’extension .ZOZL.
En 2021, les autorités de cybersécurité aux États-Unis,[1][2][3] Australie,[4] et le Royaume-Uni[5] ont observé une augmentation des incidents de ransomwares sophistiqués et à fort impact contre les organisations d’infrastructures critiques dans le monde. Le Federal Bureau of Investigation (FBI), la Cybersecurity and Infrastructure Security Agency (CISA) et la National Security Agency (NSA) ont observé des incidents impliquant des rançongiciels contre 14 des les 16 secteurs d’infrastructures critiques aux États-Unis, y compris la base industrielle de la défense, les services d’urgence, l’alimentation et l’agriculture, les installations gouvernementales et les secteurs des technologies de l’information. L’Australian Cyber Security Center (ACSC) a observé un ciblage continu des rançongiciels sur les entités d’infrastructure critiques australiennes, notamment dans les secteurs de la santé et de la médecine, des services et marchés financiers, de l’enseignement supérieur et de la recherche et de l’énergie. Le Centre national de cybersécurité du Royaume-Uni (NCSC-UK) reconnaît les ransomwares comme la plus grande cybermenace à laquelle est confronté le Royaume-Uni. L’éducation est l’un des principaux secteurs britanniques ciblés par les acteurs du ransomware, mais le NCSC-UK a également été témoin d’attaques visant des entreprises, des organisations caritatives, la profession juridique et les services publics dans les secteurs de l’administration locale et de la santé.
10 février 2022
Alors que les paiements de ransomwares continuent d’augmenter, le rôle des ransomwares dans les conflits géopolitiques augmente également
Effectivement, nous avons mis à jour nos numéros de rançongiciels à quelques reprises tout au long de 2021, reflétant de nouveaux paiements que nous n’avions pas identifiés auparavant. En janvier 2022, nous avions identifié un peu plus de 692 millions de dollars en paiements de rançongiciels en 2020, soit près du double du montant que nous avions initialement identifié au moment de la rédaction du rapport de l’année dernière.
Chainalysis en action : comment les enquêteurs du FBI ont retracé les fonds de DarkSide après l’attaque du rançongiciel Colonial Pipeline
Un mois plus tard, il y avait une bonne nouvelle : le ministère de la Justice annoncé qu’il avait réussi à saisir 2,3 millions de dollars de Bitcoin sur le paiement de la rançon de Colonial à la suite d’une enquête du FBI. Chainalysis est fière de dire que nos outils ont aidé le FBI et que nous pouvons désormais partager des détails sur la façon dont les enquêteurs ont suivi les fonds après l’attaque.
11 février 2022
Le rançongiciel .NET se fait passer pour REvil
Karsten Hahn a trouvé un rançongiciel .NET qui se fait passer pour REvil en copiant la note de rançon et le site Tor.
Nouvelles variantes de STOP Ransomware
PCrisk a trouvé de nouvelles variantes de ransomware STOP qui ajoutent les extensions .iips et .ccps.