La semaine des ransomwares – 21 janvier 2022

Ransomware sign

La semaine a été assez chargée avec les ransomwares, les forces de l’ordre procédant à des arrestations, des attaques d’effacement de données et le retour du ransomware Qlocker.

La plus grande nouvelle de cette semaine est l’arrestation par la Russie de quatorze membres présumés de l’opération de rançongiciel REvil. En outre, un haut responsable de l’administration Biden a déclaré que l’un des quatorze suspects est responsable de l’attaque du rançongiciel Colonial Pipeline.

Europol a également mené une opération d’application de la loi contre VPNLab, une plate-forme couramment utilisée par les gangs de rançongiciels. Les forces de l’ordre ont saisi 15 serveurs utilisés par le service VPNLab.net et ont détruit son site principal, rendant la plateforme indisponible.

Alors que ce fut une bonne semaine pour les forces de l’ordre, malheureusement, de nouvelles attaques ont été découvertes.

Microsoft a révélé des attaques contre des organisations ukrainiennes utilisant des logiciels malveillants d’effacement de données déguisés en rançongiciels. Ce logiciel malveillant s’appelle « WhisperGate » et a été attribué par des responsables ukrainiens comme étant dirigé par ou à la demande du gouvernement russe.

Pour les consommateurs et les petites entreprises, nous avons assisté au retour malheureux de Qlocker, un rançongiciel notoire qui a chiffré des milliers d’appareils NAS QNAP l’année dernière.

Enfin, dans des recherches publiées par des sociétés de sécurité, nous avons appris que le rançongiciel White Rabbit est lié aux pirates FIN8, une nouvelle analyse du BlackCat/ArchV et Avadon les opérations de ransomware et le FBI reliant Diavol au groupe TrickBot.

Les contributeurs et ceux qui ont fourni de nouvelles informations et histoires sur les rançongiciels cette semaine incluent : @serghei, @VK_Intel, @billtoulas, @struppigel, @Ionut_Ilascu, @malwareforme, @jorntvdw, @Seifreed, @FourOctets, @PolarToffee, @DanielGallagher, @malwrhunterteam, @fwosar, @LawrenceAbrams, @BleepinComputer, @ demonslay335, @fbgwls245, @Amigo_A_,@JakubKroustek, @pcrisk, @TrendMicro, @LabsSentinel, @MsftSecIntel, @Mandiant, et @GrujaRS.

15 janvier 2022

Le rançongiciel Qlocker revient pour cibler les appareils NAS QNAP dans le monde entier

Les acteurs de la menace à l’origine du rançongiciel Qlocker ciblent une fois de plus les périphériques de stockage en réseau QNAP (NAS) exposés à Internet dans le monde entier.

La Russie inculpe 8 membres présumés d’un gang de rançongiciels REvil

Huit membres de l’opération de rançongiciel REvil qui ont été détenus par des officiers russes font actuellement face à des accusations criminelles pour leur activité illégale.

16 janvier 2022

Microsoft : Un faux ransomware cible l’Ukraine dans des attaques d’effacement de données

Microsoft met en garde contre des logiciels malveillants destructeurs d’effacement de données déguisés en rançongiciels utilisés dans des attaques contre plusieurs organisations en Ukraine.

17 janvier 2022

Nouvelles variantes de ransomware STOP

PCrisque a trouvé deux nouvelles variantes de ransomware STOP qui ajoutent les extensions .vfgj et .fhkf.

Nouvelle variante Chaos Ransomware

dnwls0719 a trouvé une nouvelle variante de rançongiciel Chaos qui ajoute l’extension .AZ.

18 janvier 2022

Nouveau rançongiciel White Rabbit lié au groupe de piratage FIN8

Une nouvelle famille de rançongiciels appelée « White Rabbit » est récemment apparue dans la nature et, selon les résultats de recherches récentes, pourrait être une opération parallèle du groupe de piratage FIN8.

Le géant de la mode Moncler confirme une violation de données après une attaque de ransomware

Le géant italien de la mode de luxe Moncler a confirmé avoir subi une violation de données après que des fichiers ont été volés par l’opération de rançongiciel AlphV/BlackCat en décembre et publiés aujourd’hui sur le dark web.

Europol ferme le service VPN utilisé par les groupes de rançongiciels

Les forces de l’ordre de 10 pays ont arrêté VPNLab.net, un fournisseur de services VPN utilisé par les opérateurs de rançongiciels et les acteurs de logiciels malveillants.

Rançongiciel BlackCat | RaaS hautement configurable et piloté par la rouille à l’affût des victimes

Chat noir (alias AlphaVM, AlphaV) est un RaaS (Ransomware as a Service) nouvellement créé avec des charges utiles écrites en Rust. Bien que BlackCat ne soit pas le premier rançongiciel écrit en langage Rust, il rejoint une petite partie (mais en croissance) du paysage des logiciels malveillants utilisant ce langage multiplateforme populaire.

Nouvelle variante Dharma Ransomware

dnwls0719 a trouvé une nouvelle variante du rançongiciel Dharma qui ajoute l’extension .MTX.

19 janvier 2022

Le géant du marketing RRD confirme le vol de données dans l’attaque du rançongiciel Conti

RR Donnelly a confirmé que des acteurs de la menace avaient volé des données lors d’une cyberattaque en décembre, confirmée par EZpublish-france.fr comme étant une attaque de rançongiciel Conti.

Une seule source pour les gouverner tous : à la poursuite du rançongiciel AVADDON

Ce billet de blog explore l’activité, les similitudes et les chevauchements entre plusieurs familles de ransomwares liées au ransomware AVADDON, servant d’étude de cas pour comprendre comment les opérateurs de ransomwares pensent et continuent de générer des bénéfices dans un écosystème de cybercriminalité en constante évolution.

Nouvelle variante du rançongiciel Dharma

PCrisk a trouvé une nouvelle variante du rançongiciel Dharma qui ajoute l’extension .cip.

20 janvier 2022

Le FBI associe le rançongiciel Diavol au groupe de cybercriminalité TrickBot

Le FBI a officiellement lié l’opération de rançongiciel Diavol au groupe TrickBot, les développeurs de logiciels malveillants à l’origine du célèbre cheval de Troie bancaire TrickBot.

Nouvelle variante STOP Ransomware

Jakub Kroustek a trouvé une nouvelle variante de rançongiciel STOP qui ajoute l’extension .maak.

Découverte d’un nouveau rançongiciel Trap

Amigo-A a repéré le nouveau rançongiciel Trap qui ajoute l’extension .trap et dépose une note de rançon nommée RESTORE.txt.

Nouvelle variante du rançongiciel Makop

GrujaRS a trouvé une nouvelle variante de rançongiciel Makop qui ajoute l’extension .factfull.

21 janvier 2022

Nouvelle variante du rançongiciel Phobos

PCrisk a trouvé une nouvelle variante du rançongiciel Phobos qui ajoute l’extension .ELBOW.

C’est tout pour cette semaine ! J’espère que tout le monde passe un bon week-end !