Les opérations de ransomware continuent d’évoluer, avec de nouveaux groupes apparaissant et d’autres arrêtant discrètement leurs opérations ou se rebaptisant en tant que nouveaux groupes.
Cela s’est vu cette semaine, le PDG d’Advanced Intel, Vitali Kremez, révélant hier que la marque Conti, et non l’organisation elle-même, était en train de fermer. Cependant, cela ne signifie pas que les acteurs de la menace eux-mêmes prennent leur retraite.
Cette semaine, nous avons également reçu la confirmation que REvil, ou du moins certains de ses membres, ont relancé l’opération après la découverte d’un échantillon de leur crypteur.
Dans les actualités liées à la recherche, un chercheur en sécurité a découvert des vulnérabilités de piratage de DLL dans les opérations de ransomware et a publié des DLL pouvant être utilisées pour arrêter les chiffreurs avant qu’ils ne commencent à chiffrer les fichiers.
Cette semaine, d’autres recherches publiées proviennent de Trellix, qui a rapporté que diverses opérations de ransomware sont liées à des groupes de piratage du gouvernement nord-coréen, y compris le gang notoire Lazarus.
Les attaques que nous avons vues cette semaine incluent l’utilisation de fausses mises à jour de Windows 10 pour distribuer le rançongiciel Magniber et une attaque contre AGCO, un fabricant américain de machines agricoles.
Les contributeurs et ceux qui ont fourni de nouvelles informations et histoires sur les rançongiciels cette semaine incluent : @malwrhunterteam, @Seifreed, @DanielGallagher, @LawrenceAbrams, @malwareforme, @jorntvdw, @BleepinComputer, @ demonslay335, @PolarToffee, @fwosar, @billtoulas, @FourOctets, @struppigel, @VK_Intel, @serghei, @Ionut_Ilascu, @Trellix, @malvuln, @JakubKroustek, @R3MRUM, @malvuln, @pcrisk, @Amigo_A_, @Intel471Inc, @ValeryMarchiveet @blackfogprivacy.
30 avril 2022
De fausses mises à jour de Windows 10 vous infectent avec le rançongiciel Magniber
De fausses mises à jour de Windows 10 sont utilisées pour distribuer le rançongiciel Magniber dans une campagne massive qui a débuté plus tôt ce mois-ci.
1er mai 2022
Le rançongiciel REvil est de retour : un nouvel échantillon de malware confirme que le gang est de retour
L’opération notoire de rançongiciel REvil est revenue au milieu des tensions croissantes entre la Russie et les États-Unis, avec une nouvelle infrastructure et un crypteur modifié permettant des attaques plus ciblées.
2 mai 2022
Nouvelles variantes de STOP Ransomware
PCrisque trouvé de nouvelles variantes de ransomware STOP qui ajoutent les extensions .mmob, .hhjk et .ttii.
3 mai 2022
Nouvelles souches de rançongiciels liées aux pirates du gouvernement nord-coréen
Plusieurs souches de ransomwares ont été liées à APT38, un groupe de piratage parrainé par la Corée du Nord, connu pour sa concentration sur le ciblage et le vol de fonds auprès d’institutions financières du monde entier.
Les bugs des rançongiciels Conti, REvil et LockBit sont exploités pour bloquer le chiffrement
En analysant les souches de logiciels malveillants de ces gangs de rançongiciels, un chercheur en sécurité nommé hyp3rlinx a découvert que les échantillons étaient vulnérables au piratage de DLL, une méthode généralement utilisée par les attaquants pour injecter du code malveillant dans une application légitime.
4 mai 2022
Nouvelle variante du rançongiciel Teslarvng
PCrisk a trouvé une nouvelle variante du Teslarvng Ransomware qui ajoute l’extension .selena et supprime une note de rançon nommée selena.txt.
5 mai 2022
Nouvelle variante du rançongiciel Xorist
PCrisk a trouvé une nouvelle variante de rançongiciel Xorist qui ajoute l’extension .Mal.
Nouvelles variantes de STOP Ransomware
PCrisk a trouvé de nouvelles variantes de ransomware STOP qui ajoutent les extensions .mine, .xcvf, .bbnm, .sijr et .egfge.
Nouvelle variante du rançongiciel ‘Gucci’ Phobos
PCrisk a trouvé une nouvelle variante du rançongiciel Phobos qui ajoute l’extension .GUCCI.
La marque du rançongiciel Conti se dirige vers 2hutting down
Conti ransomware comme dans son nom de réincarnation d’origine est officiellement mort pendant un certain temps. Bye Bye.
– Vitali Kremez (@VK_Intel) 4 mai 2022
La cybercriminalité aime la compagnie : Conti a coopéré avec d’autres gangs de rançongiciels
Les gangs de ransomwares ne sont apparemment pas différents. Grâce aux Conti Leaks, les chercheurs d’Intel 471 ont trouvé des preuves que le groupe de ransomwares Conti surveillait de près les autres groupes de ransomwares et empruntait certaines de leurs techniques et meilleures pratiques pour ses propres opérations. De plus, Intel 471 a également observé les affiliés et les managers du groupe Conti coopérer avec d’autres gangs, dont les équipes LockBit, Maze et Ryuk.
Rapport sur l’état des rançongiciels de BlackFog en 2022
En 2020, 2021 et maintenant 2022, l’état des rançongiciels de BlackFog en 2022 mesure les attaques divulguées publiquement dans le monde. Nous avons également produit un résumé annuel de nos conclusions dans le rapport 2021 sur les attaques de ransomwares. En 2022, nous suivrons encore plus de statistiques, telles que l’exfiltration de données et plusieurs autres au fil de l’année. Comme d’habitude, vous pouvez également vous abonner pour recevoir le rapport dans votre boîte de réception tous les mois.
6 mai 2022
Le fabricant américain de machines agricoles AGCO touché par une attaque de ransomware
AGCO, l’un des principaux fabricants de machines agricoles basé aux États-Unis, a annoncé avoir été touché par une attaque de ransomware affectant certaines de ses installations de production.
Ransomware : LockBit 3.0 commence à être utilisé dans les cyberattaques
Cette nouvelle version avait été évoquée mi-mars. Il doit notamment corriger un bug de chiffrement dans les bases de données MSSQL. Son utilisation dans les cyberattaques a commencé.
Nouveau rançongiciel Odaku
PCrisk a trouvé une nouvelle variante du rançongiciel Chaos qui s’appelle le rançongiciel Odaku.