Cette semaine, les forces de l’ordre ont porté un coup dur à l’opération de ransomware REvil, avec plusieurs arrestations annoncées et la saisie de crypto-monnaie.
Lundi, le ministère américain de la Justice, Europol et Interpol ont annoncé l’arrestation d’affiliés et de membres de REvil au Koweït et en Roumanie. Le FBI a également annoncé l’arrestation de l’affilié de REvil à l’origine de l’attaque Kaseya de juillet qui a chiffré plus de 1 500 organisations.
En outre, les États-Unis ont annoncé que 6 millions de dollars de rançons avaient été saisis dans le cadre de l’opération de rançongiciel REvil.
Après la fermeture de REvil en octobre, il était prévu que le groupe rebaptise sous peu une nouvelle opération. Cependant, avec les récentes nouvelles des arrestations et du fait que le FBI a détourné leur serveur, il est possible qu’ils l’appellent d’arrêt car d’autres cybercriminels ne voudront probablement plus travailler avec eux.
Cette semaine, l’autre grande nouvelle est une attaque massive contre le détaillant d’électronique européen MediaMarkt par l’opération Hive Ransomware.
D’autres nouvelles cette semaine sont le gang Clop utilisant la vulnérabilité Serv-U pour violer les réseaux et un nouveau projet de loi américain définissant les étapes de réponse aux ransomwares pour les organisations financières.
Les contributeurs et ceux qui ont fourni de nouvelles informations et histoires sur les ransomwares cette semaine incluent : @serghei, @FourOctets, @BleepinComputer, @struppigel, @billtoulas, @fwosar, @malwrhunterteam, @jontvdw, @Ionut_Ilascu, @LawrenceAbrams, @Seifree, @VK_Intel, @malwareforme, @demonslay335, @DanielGallagher, @PolarToffee, @douglasmun, @John_Fokker, @tsrc_team, @cyberaaison, @NCCGroupInfosec, @kpoulsen, @bobmcmillan, @pcrisk, et @Amigo_A_.
7 novembre 2021
L’opération Cyclone porte un coup dur à l’opération du ransomware Clop
Une opération internationale d’application de la loi d’une durée de trente mois, portant le nom de code « Opération Cyclone », a ciblé le gang de ransomware Clop, ce qui a conduit aux arrestations signalées précédemment de six membres en Ukraine.
8 novembre 2021
Le géant de la vente au détail de produits électroniques MediaMarkt touché par une attaque de ransomware
Le géant de la vente au détail de produits électroniques MediaMarkt a subi une attaque de ransomware qui a provoqué la fermeture des systèmes informatiques et l’interruption des opérations de stockage aux Pays-Bas et en Allemagne.
Les affiliés du ransomware REvil arrêtés en Roumanie et au Koweït
Les autorités roumaines chargées de l’application des lois ont arrêté le 4 novembre deux suspects soupçonnés d’être des affiliés au ransomware Sodinokibi/REvil, tous deux soupçonnés d’avoir infecté des milliers de victimes.
Les États-Unis saisissent 6 millions de dollars du ransomware REvil et arrêtent le pirate informatique de Kaseya
Le ministère de la Justice des États-Unis a annoncé aujourd’hui des accusations contre un affilié au ransomware REvil responsable de l’attaque contre la plate-forme Kaseya MSP le 2 juillet et de la saisie de plus de 6 millions de dollars auprès d’un autre partenaire de REvil.
Les États-Unis sanctionnent Chatex cryptoexchange utilisé par des gangs de ransomware
Le département du Trésor américain a annoncé aujourd’hui des sanctions contre l’échange de crypto-monnaie Chatex pour avoir aidé les gangs de rançongiciels à échapper aux sanctions et facilité les transactions de rançon.
Les États-Unis offrent une récompense de 10 millions de dollars aux dirigeants du ransomware REvil
Les États-Unis offrent jusqu’à 10 millions de dollars pour identifier ou localiser les dirigeants de l’opération de ransomware REvil (Sodinokibi), dont 5 millions de dollars conduisant à l’arrestation d’affiliés.
9 novembre 2021
Clop gang exploitant la faille SolarWinds Serv-U dans les attaques de ransomware
Le gang de ransomware Clop, également suivi sous les noms TA505 et FIN11, exploite une vulnérabilité SolarWinds Serv-U pour violer les réseaux d’entreprise et finalement crypter ses appareils.
10 novembre 2021
TrickBot s’associe aux hameçonneurs Shatak pour les attaques de ransomware Conti
Un acteur malveillant identifié comme Shatak (TA551) s’est récemment associé au gang ITG23 (alias TrickBot et Wizard Spider) pour déployer le ransomware Conti sur des systèmes ciblés.
Nouvelle variante STOP Ransomware
PCrisque a trouvé une nouvelle variante de ransomware STOP qui ajoute l’extension .qdla.
11 novembre 2021
Le gang de ransomware Mgniber exploite désormais les failles d’Internet Explorer dans les attaques
Le gang de ransomware Magniber utilise désormais deux vulnérabilités d’Internet Explorer et des publicités malveillantes pour infecter les utilisateurs et crypter leurs appareils.
Un nouveau projet de loi définit des règles de réponse aux attaques de ransomware pour les organisations financières américaines
Une nouvelle législation introduite cette semaine par les législateurs américains vise à définir des « règles de route » pour la réponse aux attaques de ransomwares pour les institutions financières américaines.
Nouveau BlackCocaïne Ransomware
Amigo-A a trouvé un nouveau ransomware qui ajoute l’extension .BlackCocaine et supprime la note de rançon HOW_TO_RECOVER_FILES.BlackCocaine.txt.
12 novembre 2021
Les États-Unis accusent les Russes de blanchiment d’argent pour Ryuk Ransomware Gang
Un entrepreneur moscovite a été arrêté pendant des vacances à l’étranger ce mois-ci et fait maintenant face à une extradition vers les États-Unis pour avoir aidé un célèbre groupe russe de rançongiciels à blanchir des paiements.
Nouvelle variante STOP Ransomware
PCrisk a trouvé une nouvelle variante de ransomware STOP qui ajoute l’extension .qmak.