Alors que les ransomwares continuent de mener des attaques et que toutes les entreprises doivent rester vigilantes, les nouvelles sur les ransomwares ont été relativement lentes cette semaine. Cependant, il y avait encore quelques histoires intéressantes que nous décrivons ci-dessous.
L’histoire la plus intéressante de cette semaine est Reportage de CNN sur Conti Leaksun chercheur ukrainien qui a accès aux serveurs internes de Conti depuis des années.
Après que Conti se soit rangé du côté de la Russie au sujet de l’invasion de l’Ukraine, le chercheur a riposté en divulguant des conversations internes et le code source du gang Conti Ransomware, offrant aux chercheurs et aux forces de l’ordre un aperçu de leurs opérations.
Une autre nouvelle intéressante est une technique intelligente « IPFuscation » utilisée par le gang de rançongiciels Hive pour obscurcir les charges utiles en les représentant comme des adresses IP pour échapper à la détection. En exécutant la liste des adresses IP via un décodeur, il en résulte une charge utile binaire qui peut être installée.
Les contributeurs et ceux qui ont fourni de nouvelles informations et histoires sur les rançongiciels cette semaine incluent : @PolarToffee, @FourOctets, @jorntvdw, @LawrenceAbrams, @Seifreed, @serghei, @malwrhunterteam, @DanielGallagher, @VK_Intel, @malwareforme, @Ionut_Ilascu, @struppigel, @ demonslay335, @fwosar, @billtoulas, @BleepinComputer, @rivitna2, @MinervaLabs, @Amigo_A_, @SentinelOne, @AquaSecTeam, @ContiLeaks, @snlyngaaset @pcrisk.
27 mars 2022
Le rançongiciel Hive porte son chiffreur Linux VMware ESXi sur Rust
L’opération de rançongiciel Hive a converti son chiffreur VMware ESXi Linux au langage de programmation Rust et a ajouté de nouvelles fonctionnalités pour rendre plus difficile pour les chercheurs en sécurité d’espionner les négociations de rançon de la victime.
28 mars 2022
Le rançongiciel SunCrypt est toujours vivant et actif en 2022
SunCrypt, une opération de ransomware en tant que service (RaaS) qui a pris de l’importance à la mi-2020, serait toujours active, même à peine, alors que ses opérateurs continuent de travailler pour donner à sa souche de nouvelles capacités.
Nouveau rançongiciel KalajaTomorr
Amigo-A a trouvé un nouveau rançongiciel qui dépose une note de rançon nommée Hello.txt.
29 mars 2022
Alerte à la menace : première attaque de rançongiciel Python ciblant les ordinateurs portables Jupyter
L’équipe Nautilus a découvert une attaque de ransomware basée sur Python qui, pour la première fois, ciblait Jupyter Notebook, un outil populaire utilisé par les spécialistes des données. Les attaquants ont obtenu un accès initial via des environnements mal configurés, puis ont exécuté un script de ransomware qui crypte chaque fichier sur un chemin donné sur le serveur et se supprime après l’exécution pour dissimuler l’attaque. Étant donné que les notebooks Jupyter sont utilisés pour analyser les données et créer des modèles de données, cette attaque peut entraîner des dommages importants pour les organisations si ces environnements ne sont pas correctement sauvegardés.
Nouvelle variante du rançongiciel Dharma
PCrisque a trouvé une nouvelle variante du rançongiciel Dharma qui ajoute l’extension .snwd.
30 mars 2022
Le rançongiciel Hive utilise une nouvelle astuce « IPfuscation » pour masquer la charge utile
Les analystes des menaces ont découvert une nouvelle technique d’obscurcissement utilisée par le gang de rançongiciels Hive, qui implique des adresses IPv4 et une série de conversions qui conduisent finalement au téléchargement d’une balise Cobalt Strike.
« Je peux me battre avec un clavier » : comment un informaticien ukrainien a dénoncé un gang notoire de rançongiciels russes
Alors que l’artillerie russe commençait à pleuvoir sur son pays natal le mois dernier, un informaticien ukrainien a décidé de riposter de la meilleure façon qu’il savait : en sabotant l’un des gangs de rançongiciels les plus redoutables de Russie.
31 mars 2022
La victime de LockBit estime le coût de l’attaque par ransomware à 42 millions de dollars
Atento, un fournisseur de services de gestion de la relation client (CRM), a publié ses résultats de performance financière pour 2021, qui montrent un impact massif de 42,1 millions de dollars en raison d’une attaque de ransomware subie par l’entreprise en octobre de l’année dernière.
Quatre nouvelles variantes de ransomware STOP
PCrisque trouvé de nouvelles variantes de rançongiciel STOP qui ajoutent les extensions .voom, .mpag, .gtys ou .udla.