La semaine des rançongiciels – 3 juin 2022 – Éviter les sanctions

Les gangs de rançongiciels continuent de faire évoluer leurs opérations car les victimes refusent de payer des rançons en raison de sanctions ou pour d’autres raisons.

Ceci est illustré par le fait qu’Evil Corp ne rebaptise plus son rançongiciel Hades pour les attaques et utilise à la place LockBit pour échapper aux sanctions du gouvernement américain.

Le nouveau groupe Industrial Spy a également commencé à exercer une plus grande pression sur les victimes en piratant leurs sites Web pour afficher des notes de rançon.

De nouvelles informations continuent de provenir des Conti Leaks, des chercheurs révélant que le gang de rançongiciels travaillait sur des exploits pour le moteur de gestion Intel afin d’implanter des bootkits et des micrologiciels malveillants.

Enfin, nous avons constaté une augmentation des attaques ce mois-ci, avec le gang Clop révélant de nouvelles victimes, Foxconn confirmant notre rapport d’une attaque de ransomware LockBit en mai 2021, et le Costa Rica étant désormais ciblé par le ransomware Hive.

On pense que la filiale de Hive derrière l’attaque au Costa Rica est la même personne qui publie actuellement sur le site de fuite de données de Conti.

Les contributeurs et ceux qui ont fourni de nouvelles informations et histoires sur les rançongiciels cette semaine incluent : @serghei, @Seifreed, @malwareforme, @LawrenceAbrams, @billtoulas, @DanielGallagher, @malwrhunterteam, @BleepinComputer, @Ionut_Ilascu, @jorntvdw, @demonslay335, @PolarToffee, @fwosar, @VK_Intel, @struppigel, @FourOctets, @NCCGroupInfosec, @BrettCallow, @IBMSecurity, @eclypsium, @Mandiant et @pcrisk.

28 mai 2022

Le gang de rançongiciels Clop est de retour et fait 21 victimes en un mois

Après avoir effectivement arrêté l’ensemble de leurs opérations pendant plusieurs mois, entre novembre et février, le rançongiciel Clop est maintenant de retour, selon les chercheurs du NCC Group.

30 mai 2022

Nouvelles variantes de ransomware STOP

PCrisk a trouvé de nouvelles variantes de rançongiciel STOP qui ajoutent les extensions .ewdf, .uihj ou .zfdv aux fichiers chiffrés.

31 mai 2022

L’agence de santé publique du Costa Rica touchée par le rançongiciel Hive

Tous les systèmes informatiques du réseau du service de santé publique du Costa Rica (connu sous le nom de Caisse de sécurité sociale du Costa Rica ou CCCS) sont désormais hors ligne suite à une attaque de rançongiciel Hive qui les a frappés ce matin.

Nouvelle variante Phobos

PCrisk a trouvé une nouvelle variante Phobos qui ajoute l’extension .decrypt et supprime les notes de rançon nommées info.txt et info.hta.

Nouvelle variante VoidCrypt MoonShadow

PCrisk a trouvé une nouvelle variante de VoidCrypt nommée MoonShadow qui ajoute l’extension .moonshadow et supprime les notes de rançon nommées Decryption-Guide.HTA et Decryption-Guide.txt.

Nouvelle variante du rançongiciel Dharma

PCrisk a trouvé une nouvelle variante du rançongiciel Dharma qui ajoute l’extension .r3tr0.

1er juin 2022

Les attaques de ransomwares ont besoin de moins de quatre jours pour chiffrer les systèmes

La durée des attaques de ransomwares en 2021 était en moyenne de 92,5 heures, mesurée depuis l’accès initial au réseau jusqu’au déploiement de la charge utile. En 2020, les acteurs du ransomware ont passé en moyenne 230 heures pour mener à bien leurs attaques et 1637,6 heures en 2019.

Gouvernement américain : payer les rançons d’extorsion de Karakurt n’arrêtera pas les fuites de données

Plusieurs agences fédérales américaines ont mis en garde aujourd’hui les organisations contre le paiement des demandes de rançon faites par le gang Karakurt, car cela n’empêchera pas leurs données volées d’être vendues à d’autres.

2 juin 2022

Foxconn confirme qu’une attaque de ransomware a perturbé la production au Mexique

Le fabricant d’électronique Foxconn a confirmé que l’une de ses usines de production basées au Mexique avait été touchée par une attaque de ransomware fin mai.

Le rançongiciel Conti a ciblé le micrologiciel Intel pour des attaques furtives

Des chercheurs analysant les fuites de chats de la célèbre opération de rançongiciel Conti ont découvert que des équipes au sein du groupe russe de cybercriminalité développaient activement des hacks de micrologiciels.

Un gang de rançongiciels pirate désormais les sites Web des entreprises pour afficher des notes de rançon

Un gang de rançongiciels porte l’extorsion à un nouveau niveau en piratant publiquement les sites Web des entreprises pour afficher publiquement les notes de rançon.

Evil Corp passe au rançongiciel LockBit pour échapper aux sanctions

Le groupe de cybercriminalité Evil Corp est maintenant passé au déploiement du rançongiciel LockBit sur les réseaux des cibles pour échapper aux sanctions imposées par l’Office of Foreign Assets Control (OFAC) du département du Trésor américain.

C’est tout pour cette semaine ! J’espère que tout le monde passe un bon week-end !