La semaine a été assez chargée avec les ransomwares, les forces de l’ordre procédant à des arrestations, des attaques d’effacement de données et le retour du ransomware Qlocker.
La plus grande nouvelle de cette semaine est l’arrestation par la Russie de quatorze membres présumés de l’opération de rançongiciel REvil. En outre, un haut responsable de l’administration Biden a déclaré que l’un des quatorze suspects est responsable de l’attaque du rançongiciel Colonial Pipeline.
Europol a également mené une opération d’application de la loi contre VPNLab, une plate-forme couramment utilisée par les gangs de rançongiciels. Les forces de l’ordre ont saisi 15 serveurs utilisés par le service VPNLab.net et ont détruit son site principal, rendant la plateforme indisponible.
Alors que ce fut une bonne semaine pour les forces de l’ordre, malheureusement, de nouvelles attaques ont été découvertes.
Microsoft a révélé des attaques contre des organisations ukrainiennes utilisant des logiciels malveillants d’effacement de données déguisés en rançongiciels. Ce logiciel malveillant s’appelle « WhisperGate » et a été attribué par des responsables ukrainiens comme étant dirigé par ou à la demande du gouvernement russe.
Pour les consommateurs et les petites entreprises, nous avons assisté au retour malheureux de Qlocker, un rançongiciel notoire qui a chiffré des milliers d’appareils NAS QNAP l’année dernière.
Enfin, dans des recherches publiées par des sociétés de sécurité, nous avons appris que le rançongiciel White Rabbit est lié aux pirates FIN8, une nouvelle analyse du BlackCat/ArchV et Avadon les opérations de ransomware et le FBI reliant Diavol au groupe TrickBot.
Les contributeurs et ceux qui ont fourni de nouvelles informations et histoires sur les rançongiciels cette semaine incluent : @serghei, @VK_Intel, @billtoulas, @struppigel, @Ionut_Ilascu, @malwareforme, @jorntvdw, @Seifreed, @FourOctets, @PolarToffee, @DanielGallagher, @malwrhunterteam, @fwosar, @LawrenceAbrams, @BleepinComputer, @ demonslay335, @fbgwls245, @Amigo_A_,@JakubKroustek, @pcrisk, @TrendMicro, @LabsSentinel, @MsftSecIntel, @Mandiant, et @GrujaRS.
15 janvier 2022
Le rançongiciel Qlocker revient pour cibler les appareils NAS QNAP dans le monde entier
Les acteurs de la menace à l’origine du rançongiciel Qlocker ciblent une fois de plus les périphériques de stockage en réseau QNAP (NAS) exposés à Internet dans le monde entier.
La Russie inculpe 8 membres présumés d’un gang de rançongiciels REvil
Huit membres de l’opération de rançongiciel REvil qui ont été détenus par des officiers russes font actuellement face à des accusations criminelles pour leur activité illégale.
16 janvier 2022
Microsoft : Un faux ransomware cible l’Ukraine dans des attaques d’effacement de données
Microsoft met en garde contre des logiciels malveillants destructeurs d’effacement de données déguisés en rançongiciels utilisés dans des attaques contre plusieurs organisations en Ukraine.
17 janvier 2022
Nouvelles variantes de ransomware STOP
PCrisque a trouvé deux nouvelles variantes de ransomware STOP qui ajoutent les extensions .vfgj et .fhkf.
Nouvelle variante Chaos Ransomware
dnwls0719 a trouvé une nouvelle variante de rançongiciel Chaos qui ajoute l’extension .AZ.
18 janvier 2022
Nouveau rançongiciel White Rabbit lié au groupe de piratage FIN8
Une nouvelle famille de rançongiciels appelée « White Rabbit » est récemment apparue dans la nature et, selon les résultats de recherches récentes, pourrait être une opération parallèle du groupe de piratage FIN8.
Le géant de la mode Moncler confirme une violation de données après une attaque de ransomware
Le géant italien de la mode de luxe Moncler a confirmé avoir subi une violation de données après que des fichiers ont été volés par l’opération de rançongiciel AlphV/BlackCat en décembre et publiés aujourd’hui sur le dark web.
Europol ferme le service VPN utilisé par les groupes de rançongiciels
Les forces de l’ordre de 10 pays ont arrêté VPNLab.net, un fournisseur de services VPN utilisé par les opérateurs de rançongiciels et les acteurs de logiciels malveillants.
Rançongiciel BlackCat | RaaS hautement configurable et piloté par la rouille à l’affût des victimes
Chat noir (alias AlphaVM, AlphaV) est un RaaS (Ransomware as a Service) nouvellement créé avec des charges utiles écrites en Rust. Bien que BlackCat ne soit pas le premier rançongiciel écrit en langage Rust, il rejoint une petite partie (mais en croissance) du paysage des logiciels malveillants utilisant ce langage multiplateforme populaire.
Nouvelle variante Dharma Ransomware
dnwls0719 a trouvé une nouvelle variante du rançongiciel Dharma qui ajoute l’extension .MTX.
19 janvier 2022
Le géant du marketing RRD confirme le vol de données dans l’attaque du rançongiciel Conti
RR Donnelly a confirmé que des acteurs de la menace avaient volé des données lors d’une cyberattaque en décembre, confirmée par EZpublish-france.fr comme étant une attaque de rançongiciel Conti.
Une seule source pour les gouverner tous : à la poursuite du rançongiciel AVADDON
Ce billet de blog explore l’activité, les similitudes et les chevauchements entre plusieurs familles de ransomwares liées au ransomware AVADDON, servant d’étude de cas pour comprendre comment les opérateurs de ransomwares pensent et continuent de générer des bénéfices dans un écosystème de cybercriminalité en constante évolution.
Nouvelle variante du rançongiciel Dharma
PCrisk a trouvé une nouvelle variante du rançongiciel Dharma qui ajoute l’extension .cip.
20 janvier 2022
Le FBI associe le rançongiciel Diavol au groupe de cybercriminalité TrickBot
Le FBI a officiellement lié l’opération de rançongiciel Diavol au groupe TrickBot, les développeurs de logiciels malveillants à l’origine du célèbre cheval de Troie bancaire TrickBot.
Nouvelle variante STOP Ransomware
Jakub Kroustek a trouvé une nouvelle variante de rançongiciel STOP qui ajoute l’extension .maak.
Découverte d’un nouveau rançongiciel Trap
Amigo-A a repéré le nouveau rançongiciel Trap qui ajoute l’extension .trap et dépose une note de rançon nommée RESTORE.txt.
Nouvelle variante du rançongiciel Makop
GrujaRS a trouvé une nouvelle variante de rançongiciel Makop qui ajoute l’extension .factfull.
21 janvier 2022
Nouvelle variante du rançongiciel Phobos
PCrisk a trouvé une nouvelle variante du rançongiciel Phobos qui ajoute l’extension .ELBOW.