Quatre nouveaux gangs de rançongiciels qu’il faut connaître

Alors que les forces de l’ordre et les agences de renseignement de nombreux pays chassent les gangs de rançongiciels, il n’est pas surprenant que certains groupes de vétérans se dissolvent, restent dans l’ombre ou abandonnent leurs marques et redémarrent sous de nouveaux noms. Pourtant, malgré cette attention des autorités, de nouveaux cybercriminels ne cessent d’émerger, comme l’illustrent deux rapports récents.

Source : guruXOOX / Getty

Un rapport de chercheurs de Cyble, basée aux États-Unis, identifie trois nouveaux groupes qui ne seraient pas associés aux groupes existants :

RedAlert, qui cible à la fois les serveurs Windows et Linux VMware ESXi sur les réseaux d’entreprise. Le rançongiciel arrête toutes les machines virtuelles en cours d’exécution et crypte tout fichier lié aux machines virtuelles, comme les disques virtuels, note le rapport. RedAlert accepte uniquement les paiements de rançon au moyen de Monero, ce qui est plutôt atypique pour les gangs de rançongiciels, indique le rapport.

Les cybercriminels derrière RedAlert le déclenchent manuellement, ce qui signifie qu’il est exécuté après une prise de contrôle complète du système de la victime. L’exécutable du rançongiciel fournit diverses options pour effectuer des opérations de pré-chiffrement telles que l’arrêt de toutes les machines virtuelles s’exécutant sur VMware ESXi, des tests de performances de chiffrement asymétrique, etc.

Le rançongiciel utilise l’algorithme de chiffrement à clé publique NTRUEncrypt pour le chiffrement, en ciblant les fichiers de journaux (.log), les fichiers d’échange (.vswp), les disques virtuels (.vmdk), les fichiers d’instantanés (.vmsn) et les fichiers mémoire (.vmem) des machine virtuelles VMware ESXi. Après le cryptage, le rançongiciel ajoute une extension « .crypt[nombre aléatoire] » au fichier.

Omega est soupçonné de cibler des organisations en utilisant des techniques de double extorsion, ce qui signifie que le gang derrière lui vole des données avant de chiffrer les serveurs des victimes, puis menace de vendre les données copiées à moins que la victime ne paie pour les clés de déchiffrement. Les indicateurs de compromission de cette souche de rançongiciel ne sont pas disponibles.

Lilith tire son nom de l’ajout de l’extension « .lilith » aux fichiers cryptés. Les victimes disposent de trois jours pour négocier le prix du logiciel de décryptage. À défaut, le cybercriminel menace de commencer à divulguer des données personnelles copiées.

Les chercheurs notent que le logiciel malveillant Lilith peut affecter de nombreux types de fichiers et les rendre complètement inutilisables.

— Le rançongiciel Luna. Ces derniers jours, Kaspersky a publié un rapport sur cette nouvelle souche, qui est écrite en Rust et fonctionne sur les systèmes Windows, Linux et ESXi.

Pour plus de détails, l’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Lire aussi :

La marque de rançongiciel Conti est morte, mais le groupe se restructure

Les RSI canadiens privilégient la prévention dans la lutte aux rançongiciels

Les tendances des rançongiciels

Adaptation et traduction française par Renaud Larue-Langlois

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à hsolomon@soloreporter.com.

Articles connexes

Un gang de rançongiciel commence à divulguer des données volées dans une université québécoise

Le gang de rançongiciel LockBit a commencé à divulguer des données qui, selon lui, auraient été volées le mois dernier dans une université québécoise. Les données proviennent de l'Université de Sherbrooke, qui compte environ 31 000 étudiants et 8 200 professeurs et employés.

Les sites Web du gang de rançongiciel AlphV/BlackCat saisis, le FBI publie un décrypteur

Les autorités américaines ont confirmé le démantèlement du gang de rançongiciel AlphV/BlackCat, notamment la saisie de plusieurs sites de fuite de données et de communication du groupe et la publication d'un décrypteur que les organisations victimes peuvent utiliser pour accéder à nouveau aux données brouillées.

Une commission scolaire du sud de l’Ontario reconnaît un « cyberincident »

L'une des plus grandes commissions scolaires publiques du sud de l'Ontario a reconnu publiquement une cyberattaque, plus d'un mois après sa détection.

Les entreprises canadiennes de taille moyenne paient en moyenne 1,13 million de dollars aux gangs de rançongiciels

Le paiement moyen de rançongiciel effectué par les entreprises canadiennes de taille moyenne s'élevait cette année à un peu plus d'un million de dollars, selon une nouvelle enquête.

De nombreuses organisations ne pensent pas être la cible de gangs de rançongiciel, selon une enquête d’OpenText

De nombreuses organisations s'inquiètent des rançongiciels mais ne pensent toujours pas qu'elles en sont une cible, selon une enquête publiée mercredi par OpenText.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.