La semaine des ransomwares

Alors que les États-Unis fournissent une aide militaire à l’Ukraine et que leurs sanctions nuisent à l’économie russe, le gouvernement américain a révélé cette semaine qu’il existe des informations selon lesquelles la Russie se prépare à de potentielles cyberattaques contre les intérêts américains.

Dans le cadre de cette divulgation, la Maison Blanche a publié une liste de contrôle de la cybersécurité que toutes les organisations doivent lire et appliquer aux réseaux pour aider à se défendre contre les attaques.

Cet avertissement intervient alors que le FBI révèle que le ransomware Avoslocker ciblait les infrastructures critiques américaines et que les ransomwares en général ont ciblé 649 organisations d’infrastructures critiques en 2021.

Les forces de l’ordre ne sont pas restées immobiles, avec un opérateur estonien de ransomware condamné à 66 mois de prison et une mise en accusation contre quatre employés du gouvernement russe pour des attaques contre des infrastructures critiques dans le passé.

Le compte Twitter de Conti Leaks continue de divulguer des données de l’opération de rançongiciel Conti, cette semaine en divulguant un nouveau code source de janvier 2021 pour les crypteurs et décrypteurs du rançongiciel.

L’autre grande cyber-actualité de cette semaine concerne les attaques des gangs d’extorsion de dollars Lapsus. Bien qu’il ne s’agisse pas de rançongiciels, il s’agit d’un gang d’extorsion qui a été largement couvert par les médias cette semaine, ils méritent donc une mention dans l’article d’aujourd’hui.

Lapsus$ est un gang d’extorsion de données responsable des récentes cyberattaques contre de nombreuses entreprises bien connues, notamment Microsoft, Samsung, NVIDIA, Okta, Mercado Libre, Ubisoft et Vodafone.

Après leur dernière divulgation de l’attaque contre Okta, la police britannique a déclaré avoir arrêté sept personnes pour des liens présumés avec le gang d’extorsion.

Les contributeurs et ceux qui ont fourni de nouvelles informations et histoires sur les rançongiciels cette semaine incluent : @LawrenceAbrams, @serghei, @PolarToffee, @jorntvdw, @Seifreed, @VK_Intel, @fwosar, @DanielGallagher, @malwrhunterteam, @ demonslay335, @malwareforme, @FourOctets, @billtoulas, @struppigel, @Ionut_Ilascu, @BleepinComputer, @splunk, @ContiLeaks, @Tesorion_NL, @coveware, @pcrisk, @vxunderground, @cPeterr, @Secureworkset @_CERT_UA.

19 mars 2022

FBI : le rançongiciel Avoslocker cible les infrastructures critiques américaines

Le Federal Bureau of Investigation (FBI) met en garde contre l’utilisation du rançongiciel AvosLocker dans des attaques ciblant plusieurs Secteurs des infrastructures critiques aux États-Unis.

Analyse de LockBit Ransomware v2.0

Découvrez mon analyse du rançongiciel LockBit v2.0 où j’analyse toutes ses fonctionnalités dans IDA !

20 mars 2022

Plus de code source du rançongiciel Conti divulgué sur Twitter par vengeance

Un chercheur ukrainien en sécurité a divulgué un nouveau code source de malware de l’opération de rançongiciel Conti pour se venger des cybercriminels qui se sont rangés du côté de la Russie lors de l’invasion de l’Ukraine.

21 mars 2022

Rebond du rançongiciel Lorenz : corruption et fichiers irrécupérables

Début mars 2022, nous sommes tombés sur une nouvelle variante du rançongiciel Lorenz. L’échantillon que nous avons analysé remonte au 2 mars 2022. Les fichiers chiffrés par cette variante sont différents du précédent. Ce blog contient nos découvertes sur la nouvelle variante. De plus, nous expliquons un bug sérieux dans le rançongiciel qui rend l’attaquant incapable de récupérer les fichiers cryptés. Enfin, nous annonçons que le décryptage est toujours possible sans payer la rançon, ou pour être plus précis, uniquement possible sans payer la rançon.

Nouvelles variantes de STOP Ransomware

PCrisque trouvé de nouvelles variantes de ransomware STOP qui ajoutent les extensions .mmuz, .hfgd et .rguy.

22 mars 2022

Le principal producteur de viande russe touché par l’attaque de chiffrement Windows BitLocker

Le producteur et distributeur de viande basé à Moscou Miratorg Agribusiness Holding a subi une cyberattaque majeure qui a crypté ses systèmes informatiques, selon un rapport de Rosselkhoznadzor – le service fédéral russe de surveillance vétérinaire et phytosanitaire.

Le service postal public grec hors ligne en raison d’une attaque de ransomware

ELTA, le fournisseur public de services postaux en Grèce, a révélé un incident de ransomware détecté dimanche qui maintient toujours la plupart des services de l’organisation hors ligne.

La Maison Blanche partage une liste de contrôle pour contrer les cyberattaques russes

La Maison Blanche exhorte les organisations américaines à renforcer leurs défenses en matière de cybersécurité après que de nouveaux renseignements suggèrent que la Russie se prépare à mener des cyberattaques dans un proche avenir.

Le FBI publie le rapport sur la criminalité sur Internet 2021 du Centre de plaintes contre la criminalité sur Internet

le Rapport 2021 sur la criminalité sur Internet (pdf) comprend des informations provenant de 847 376 plaintes pour délits présumés sur Internet, soit une augmentation de 7 % par rapport à 2020, et des pertes signalées dépassant 6,9 milliards de dollars. Des statistiques spécifiques à l’État ont également été publiées et peuvent être trouvées dans le rapport 2021 sur la criminalité sur Internet et dans le document qui l’accompagne. Rapports d’état 2021.

Cyberattaque contre des entreprises ukrainiennes utilisant le programme de destruction DoubleZero

Le 17 mars 2022, l’équipe gouvernementale répondant aux urgences informatiques en Ukraine CERT-UA a découvert plusieurs archives ZIP, dont l’une s’appelait « Virus … extrêmement dangereux !!!. Zip ». Chacune des archives contient un programme .NET obfusqué. À la suite de l’analyse, les programmes identifiés sont classés comme DoubleZero – un programme destructeur malveillant développé à l’aide du langage de programmation C #.

Nouvelles variantes de STOP Ransomware

PCrisk a trouvé de nouvelles variantes de ransomware STOP qui ajoutent les extensions .kkia et .ssoi.

23 mars 2022

Dix souches notoires de rançongiciels soumises au test de vitesse de cryptage

Les chercheurs ont mené une expérience technique, testant dix variantes de rançongiciels pour déterminer à quelle vitesse ils chiffrent les fichiers et évaluer dans quelle mesure il serait possible de répondre rapidement à leurs attaques.

FBI : Les ransomwares ont touché 649 organisations d’infrastructures critiques en 2021

Le Federal Bureau of Investigation (FBI) affirme que des gangs de rançongiciels ont pénétré dans les réseaux d’au moins 649 organisations de plusieurs secteurs d’infrastructure critiques aux États-Unis l’année dernière, selon le Internet Crime Complaint Center (IC3) 2021 Internet Crime Report.

Nouvelle variante STOP Ransomware

PCrisk a trouvé une nouvelle variante de rançongiciel STOP qui ajoute l’extension .pphg.

Les fuites de GOLD ULRICK révèlent la structure organisationnelle et les relations

Depuis le 27 février 2022, le compte Twitter @ContiLeaks et d’autres personnages en ligne divulguent des communications contenant des détails sur les acteurs de la menace et leurs opérations. Les fuites comprennent plus de 160 000 messages échangés entre près de 500 acteurs de la menace entre janvier 2020 et mars 2022. Les messages révèlent des relations étroites entre plusieurs groupes de menaces et des détails sur le OR ULRICK et BRÛLURE D’OR opérations des groupes menaçants. Le code source et les référentiels d’outils divulgués offrent des informations sans précédent sur des acteurs de la menace jusqu’alors inconnus.

24 mars 2022

25 mars 2022

L’opérateur estonien de ransomware condamné à 66 mois de prison

Maksim Berezan, un Estonien lié à des attaques de rançongiciels de plusieurs millions de dollars, a été condamné vendredi à 66 mois de prison pour son implication dans des stratagèmes de fraude en ligne.

Comment la guerre russo-ukrainienne peut conduire à une explosion des attaques de ransomwares

Bien que ces risques soient bien réels, le choc socio-économique subi par l’économie russe à la suite des sanctions présente un risque à long terme beaucoup plus important et nous inquiète beaucoup plus chez Coveware. La sévérité des sanctions qui ne cessent de s’accumuler a créé un environnement qui pourrait conduire à une explosion du volume de gens qui se tournent vers les ransomwares pour subvenir à leurs besoins