4 groupes de ransomwares en embuscade

le 25/08/2021, par Michael Hill, IDG NS (adapté par Jean Elyan), Sécurité, 805 mots

Les chercheurs de l'Unité 42 de Palo Alto Networks ont identifié quatre groupes de ransomwares émergents ciblant actuellement les entreprises, qui pourraient devenir, demain, les vecteurs d'attaques parmi les plus dangereux.

4 groupes de ransomwares en embuscade

Dénommés AvosLocker, Hive Ransomware, HelloKitty et LockBit 2.0, ces quatre groupes de ransomwares émergents identifiés par des chercheurs de l'Unité 42 de Palo Alto Networks pourraient poser de sérieux problèmes à l'avenir.

 Ransomwares émergents

Selon le dernier rapport de l'entreprise de sécurité intitulé « Ransomware Groups to Watch : Emerging Threats » (Les groupes de ransomwares émergents à surveiller), « si, pour échapper à la pression des autorités et à l'attention des médias, les principaux groupes de ransomwares comme REvil et Darkside font profil bas ou ont changé de nom, de nouveaux groupes vont émerger pour remplacer ceux qui ne ciblent plus activement les victimes ». Dans le cadre de cette étude, Doel Santos, analyste des renseignements sur les menaces, et Ruchna Nigam, chercheur principal sur les menaces, expliquent en détail le comportement de ces quatre groupes de ransomwares. 

AvosLocker

Observé pour la première fois en juillet 2021, AvosLocker fonctionne selon le modèle du ransomware-as-a-service (RaaS). Ce dernier est contrôlé par avos, lequel fait de la publicité pour ses services sur le forum de discussion du dark web Dread. Sa note de rançon comprend des informations et un identifiant permettant d'identifier les victimes, et demande aux personnes infectées de se rendre sur le site Tor d'AvosLocker pour récupérer et restaurer leurs données. Selon le rapport, le montant des rançons se situe entre 50 000 et 75 000 dollars payables en Monero. Sept entreprises dans le monde ont été victimes de ce ransomware. 

Hive Ransomware

Les premières opérations détectées sur ce ransomware ont démarré en juin 2021. Selon le rapport de Palo Alto Networks, Hive Ransomware a ciblé les entreprises de santé et d'autres entreprises mal équipées pour se défendre contre les cyberattaques. Le groupe a publié le nom de sa première victime sur son site dénommé Hive Leaks, suivies par 28 autres. « Quand ce ransomware est exécuté, il dépose deux scripts batch », expliquent les chercheurs. « Le premier script, hive.bat, tente de se supprimer lui-même, et le second script est chargé de supprimer les copies masquées du système (shadow.bat). Le ransomware Hive ajoute l'extension [caractères aléatoires].hive aux fichiers chiffrés et dépose une note de rançon intitulée HOW_TO_DECRYPT.txt contenant des instructions et des directives pour éviter la perte de données ». Les victimes sont dirigées via la note de rançon vers une fonction de chat pour discuter du décryptage avec les attaquants. Les chercheurs ne savent pas exactement quelle est la méthode de diffusion du ransomware, mais ils pensent que les pirates pourraient utiliser des moyens traditionnels comme une attaque par force brute pour récupérer des identifiants ou le spear-phishing.

HelloKitty : Edition Linux

Ciblant principalement les systèmes Windows, la famille HelloKitty a émergé en 2020. Le ransomware doit son nom à l'utilisation de HelloKittyMutex. En 2021, Palo Alto a détecté un échantillon Linux (ELF) portant le nom de funny_linux.elf et contenant une note de rançon dont le langage correspondait directement aux notes de rançon présentes dans les échantillons ultérieurs de HelloKitty pour Windows. D'autres échantillons ont été découverts et, au mois de mars, ils ont commencé à cibler les serveurs VMware ESXi, une cible de choix pour les récentes variantes de ransomwares pour Linux. « Étrangement, le mode de communication préféré des attaquants dans les notes de rançon des différents échantillons est un mélange d'URL Tor et d'adresses électroniques Protonmail spécifique à chaque victime », expliquent les chercheurs. « Il est possible dans ce cas que l'on ait à faire à des campagnes différentes ou même à des acteurs de la menace entièrement différents, mais qui utilisent la même base de code de logiciels malveillants ». Des demandes de rançon allant jusqu'à 10 millions de dollars payables en Monero ont été détectées, mais les attaquants semblent également prêts à accepter des paiements en Bitcoin. Le ransomware chiffre les fichiers à l'aide de l'algorithme de signature numérique à courbe elliptique Elliptic Curve Digital Signature Algorithm (ECDSA).

LockBit 2.0

Précédemment connu sous le nom ABCD, le ransomware LockBit 2.0 désigne un autre groupe fonctionnant comme un ransomware-as-a-service (RaaS). Bien qu'en activité depuis 2019, Palo Alto a découvert une évolution récente des méthodes du groupe, les acteurs affirmant que la variante actuelle de leur logiciel de chiffrement était la plus rapide en activité. Depuis le mois de juin, le groupe a compromis 52 entreprises mondiales. « Tous les messages postés par les acteurs de la menace sur leur site incluent un compte à rebours avant la divulgation publique des informations confidentielles volées à l'entreprise victime, ce qui crée une pression supplémentaire », écrivent les chercheurs. Dès son exécution, LockBit 2.0 démarre le cryptage des fichiers et ajoute l'extension .lockbit. Une fois le chiffrement terminé, une note de rançon intitulée Restore-My-Files.txt informe les victimes de la compromission et leur donne des conseils sur le processus de déchiffrement.

Sécurité et réseau SD-WAN avec le package Prisma SASE chez Palo Alto...

L'offre Prisma SASE de Palo Alto Networks associe l'offre principale Prisma Access de l'équipementier à sa technologie Prisma SD-WAN. L'équipementier Palo Alto Networks a regroupé ses technologies SD-WAN et de...

le 17/09/2021, par Michael Cooney, IDG NS, et Serge Leblal, 553 mots

Attaque massive contre le moteur Yandex

Yandex voit rouge depuis qu'un botnet a pris le moteur de recherche russe en grippe. Nommé Mēris, il a battu un record d'attaque DDoS avec 21,8 millions de requêtes envoyées par seconde. Le géant russe de...

le 10/09/2021, par Célia Séramour, 493 mots

Un Clusir Bretagne pour regrouper les professionnels de la...

Terre historique de la cybersécurité, la Bretagne n'avait curieusement pas encore de Clusir. C'est désormais chose faite. L'association regroupant les experts en sécurité de la région peut compter sur un...

le 08/09/2021, par Jacques Cheminat, 369 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...