Alors que les forces de l’ordre et les agences de renseignement de nombreux pays chassent les gangs de rançongiciels, il n’est pas surprenant que certains groupes de vétérans se dissolvent, restent dans l’ombre ou abandonnent leurs marques et redémarrent sous de nouveaux noms. Pourtant, malgré cette attention des autorités, de nouveaux cybercriminels ne cessent d’émerger, comme l’illustrent deux rapports récents.
Un rapport de chercheurs de Cyble, basée aux États-Unis, identifie trois nouveaux groupes qui ne seraient pas associés aux groupes existants :
— RedAlert, qui cible à la fois les serveurs Windows et Linux VMware ESXi sur les réseaux d’entreprise. Le rançongiciel arrête toutes les machines virtuelles en cours d’exécution et crypte tout fichier lié aux machines virtuelles, comme les disques virtuels, note le rapport. RedAlert accepte uniquement les paiements de rançon au moyen de Monero, ce qui est plutôt atypique pour les gangs de rançongiciels, indique le rapport.
Les cybercriminels derrière RedAlert le déclenchent manuellement, ce qui signifie qu’il est exécuté après une prise de contrôle complète du système de la victime. L’exécutable du rançongiciel fournit diverses options pour effectuer des opérations de pré-chiffrement telles que l’arrêt de toutes les machines virtuelles s’exécutant sur VMware ESXi, des tests de performances de chiffrement asymétrique, etc.
Le rançongiciel utilise l’algorithme de chiffrement à clé publique NTRUEncrypt pour le chiffrement, en ciblant les fichiers de journaux (.log), les fichiers d’échange (.vswp), les disques virtuels (.vmdk), les fichiers d’instantanés (.vmsn) et les fichiers mémoire (.vmem) des machine virtuelles VMware ESXi. Après le cryptage, le rançongiciel ajoute une extension « .crypt[nombre aléatoire] » au fichier.
— Omega est soupçonné de cibler des organisations en utilisant des techniques de double extorsion, ce qui signifie que le gang derrière lui vole des données avant de chiffrer les serveurs des victimes, puis menace de vendre les données copiées à moins que la victime ne paie pour les clés de déchiffrement. Les indicateurs de compromission de cette souche de rançongiciel ne sont pas disponibles.
— Lilith tire son nom de l’ajout de l’extension « .lilith » aux fichiers cryptés. Les victimes disposent de trois jours pour négocier le prix du logiciel de décryptage. À défaut, le cybercriminel menace de commencer à divulguer des données personnelles copiées.
Les chercheurs notent que le logiciel malveillant Lilith peut affecter de nombreux types de fichiers et les rendre complètement inutilisables.
— Le rançongiciel Luna. Ces derniers jours, Kaspersky a publié un rapport sur cette nouvelle souche, qui est écrite en Rust et fonctionne sur les systèmes Windows, Linux et ESXi.
Lire aussi :
La marque de rançongiciel Conti est morte, mais le groupe se restructure
Les RSI canadiens privilégient la prévention dans la lutte aux rançongiciels
Les tendances des rançongiciels
Adaptation et traduction française par Renaud Larue-Langlois
