Alors que la semaine dernière était pleine d’arrestations et d’actions d’application de la loi, cette semaine a été beaucoup plus calme, avec la plupart des nouvelles recherches publiées.
Les entreprises de sécurité ont publié des rapports sur les types de cryptomixers utilisés par les gangs de ransomware, un rapport détaillé rapport sur Conti, et comment les gangs russes de ransomware commencent à travailler avec les pirates chinois.
Aujourd’hui, les régulateurs américains ont également ordonné aux banques de signaler les cyberattaques dans les 36 heures si elles ont un impact sur leurs opérations, la capacité de fournir des produits et services bancaires ou la stabilité du secteur financier américain.
Enfin, un site de négociation Tor pour le gang de ransomware Conti a été supprimé, probablement en raison de la publication de son adresse IP dans le rapport PRODAFT.
Les contributeurs et ceux qui ont fourni de nouvelles informations et histoires sur les ransomwares cette semaine incluent : @DanielGallagher, @fwosar, @struppigel, @FourOctets, @malwrhunterteam, @billtoulas, @Seifree, @Ionut_Ilascu, @serghei, @jontvdw, @PolarToffee, @demonslay335, @VK_Intel, @LawrenceAbrams, @malwareforme, @BleepinComputer, @intel_bo7, @_aftrdrk, @thepacketrat, @SophosLabs, @FlashpointIntel, @sucurisecurity, @Intel471Inc, @_CPResearch_, @BrettCallow, @emsisoft, @PRODAFT, @joetidy, @RepMaloney, @siri_urz, @fbgwls245, @pcrisk, @Amigo_A_, et @AdvIntel.
13 novembre 2021
Ransomware utilise IRC pour les négociations
dnwls0719 a trouvé un nouveau ransomware qui ajoute l’extension .dst et s’attend à ce que les utilisateurs utilisent IRC sur Tor pour négocier.
14 novembre 2021
Le département américain de l’Éducation exhorté à renforcer les défenses contre les ransomwares des écoles K-12
Le ministère américain de l’Éducation et le ministère de la Sécurité intérieure (DHS) ont été invités cette semaine à renforcer de manière plus agressive les protections de cybersécurité dans les écoles K-12 à travers le pays pour faire face à une vague massive d’attaques.
Nouveau ransomware RansomNow
Amigo-A trouvé un nouveau ransomware dans nos forums appelé RansomNow qui supprime la note de rançon AIDE – LISEZ-MOI POUR DÉVERROUILLER FILES.txt et n’ajoute pas de nouvelle extension.
15 novembre 2021
Les pirates du personnel de Moses font des ravages dans les organisations israéliennes avec des cryptages sans rançon
Un nouveau groupe de hackers nommé Moses Staff a récemment revendiqué la responsabilité de nombreuses attaques contre des entités israéliennes, qui semblent motivées par des considérations politiques car elles ne demandent aucune rançon.
Nouvelle variante STOP Ransomware
Risque PC a trouvé une nouvelle variante de ransomware STOP qui ajoute l’extension .futm.
16 novembre 2021
Ce sont les cryptomixers que les pirates utilisent pour nettoyer leurs rançons
Les cryptomixers ont toujours été à l’épicentre de l’activité de cybercriminalité, permettant aux pirates de « nettoyer » la crypto-monnaie volée aux victimes et rendant difficile leur suivi par les forces de l’ordre.
Les sites WordPress sont piratés lors de fausses attaques de ransomware
Une nouvelle vague d’attaques qui a débuté à la fin de la semaine dernière a piraté près de 300 sites WordPress pour afficher de faux avis de cryptage, essayant d’amener les propriétaires de sites à payer 0,1 bitcoin pour la restauration.
Evil Corp : « Ma chasse aux hackers les plus recherchés au monde »
De nombreuses personnes figurant sur la liste des personnes les plus recherchées par le FBI en matière de cybercriminalité sont russes. Alors que certains travailleraient pour le gouvernement avec un salaire normal, d’autres sont accusés de faire fortune grâce aux attaques de ransomware et au vol en ligne. S’ils quittaient la Russie, ils seraient arrêtés – mais chez eux, ils semblent avoir carte blanche.
Avant l’audience, le comité publie une nouvelle note de service sur les attaques par rançon contre des entreprises américaines
Aujourd’hui, Carolyn B. Maloney, présidente du Comité de surveillance et de réforme, a publié un note supplémentaire fournir de nouvelles informations sur le déroulement des attaques de ransomware très médiatisées contre CNA Financial Corporation (CNA), Colonial Pipeline Company (Colonial) et JBS Foods USA (JBS) et sur la manière dont la législation et les politiques peuvent être développées pour contrer la menace des ransomwares .
Nouveau ransomware ChiChi
dnwls0719 a trouvé un nouveau ransomware qui ajoute l’extension .chichi.
Nouvelle variante STOP Ransomware
PCrisk a trouvé une nouvelle variante de ransomware STOP qui ajoute l’extension .utjg.
17 novembre 2021
Des gangs russes de ransomware commencent à collaborer avec des pirates chinois
« Il y a une activité inhabituelle qui se prépare sur les forums de cybercriminalité russophones, où les pirates semblent tendre la main à leurs homologues chinois pour une collaboration
18 novembre 2021
[Conti] Analyse approfondie du groupe Ransomware
L’équipe PRODAFT Threat Intelligence (PTI) a obtenu des informations précieuses sur le fonctionnement interne du groupe de ransomware Conti. L’équipe PTI a accédé à l’infrastructure de Conti et identifié les véritables adresses IP des serveurs en question. Ce rapport fournit des détails sans précédent sur le fonctionnement du gang de ransomware Conti, la façon dont ils sélectionnent leurs cibles, le nombre de cibles qu’ils ont violées, et plus encore.
Le nouveau ransomware Memento passe à WinRar après un échec de cryptage
Un nouveau groupe de ransomware appelé Memento adopte l’approche inhabituelle de verrouiller les fichiers dans des archives protégées par mot de passe après que leur méthode de cryptage ait été détectée par un logiciel de sécurité.
Nouvelle variante HelloKitty
S!Ri a trouvé une nouvelle variante du ransomware HelloKitty qui ajoute l’extension .boombye et dépose une note de rançon nommée _read_me_bro.txt.
19 novembre 2021
Les régulateurs américains ordonnent aux banques de signaler les cyberattaques dans les 36 heures
Les agences fédérales américaines de réglementation des banques ont approuvé une nouvelle règle ordonnant aux banques d’informer leurs principaux régulateurs fédéraux des incidents de sécurité informatique importants dans les 36 heures.
Le retour du botnet Emotet orchestré par le gang de ransomware Conti
Le botnet Emotet est de retour à la demande générale, ressuscité par son ancien opérateur, qui a été convaincu par des membres du gang de ransomware Conti.
Le site de négociation Tor de Conti fermé brièvement par un détournement
Les sites de négociation de Conti Tor ont été fermés pendant environ 24 heures après que le rapport Prodaft a révélé son adresse IP, et les forces de l’ordre auraient mis le serveur hors ligne.