Catégories
Apple Attaque EvilQuest Mac MacOS Ransomware Sécurité ThiefQuest

Un ransomware cible les Mac, faites attention aux logiciels piratés!

Les logiciels malveillants sont cachés dans les logiciels piratés disponibles sur les forums ou les sites Torrent, tels que le pare-feu Little Snitch ou le logiciel DJ Mixed In Key.

Un ransomware cible les Mac, faites attention aux logiciels piratés!

L’installation de logiciels piratés est toujours une mauvaise idée car c’est souvent un moyen d’attraper les logiciels malveillants. Le dernier exemple est « EvilQuest » alias « ThiefQuest ». Ce nouveau ransomware cible les systèmes macOS et est caché dans de vrais logiciels comme le pare-feu Little Snitch ou le logiciel DJ Mixed In Key. Ces chevaux de Troie sont situés dans des forums de piratage et des sites Torrent.

Les logiciels malveillants sont assez bien faits. Bien sûr, macOS avertira immédiatement l’utilisateur que le progiciel n’est pas signé, mais qu’il ne découragera pas nécessairement les pirates. Lors de l’installation, il demande des privilèges d’administrateur, ce qui est déjà plus inhabituel et devrait mettre l’oreille à l’oreille. Une fois le code malveillant exécuté, détectez la présence d’antivirus et terminez leur processus. Dépannage informatique Hyères. Il crée un lancement automatique au niveau du système pour la persistance. Ensuite, il commence à crypter les fichiers.

D’autres fonctionnalités ont également été découvertes par les chercheurs en sécurité, telles que l’enregistrement des frappes, l’enregistrement des portefeuilles Bitcoin ou la création d’une porte dérobée. Un menu, dans l’ensemble assez complet, qui fait regretter à la victime d’avoir voulu économiser quelques euros. À cette occasion, les chercheurs se souviennent que vous devez toujours sauvegarder vos données et même deux de préférence.LIEN

Catégories
Attaque Ekans Etude Hakbit hyères informatique maze Ransomware Sécurité Shade

Examiner l’anatomie des attaques de ransomwares.

Une étude décrit l’anatomie d’une attaque d’un ransomware, de l’infection à la demande de rançon. Un exemple à retenir pour les DSI.

Les chercheurs en sécurité ont révélé l’anatomie d’une attaque de rançongiciel pour illustrer comment les cybercriminels ont accédé à un réseau pour installer un rançongiciel, le tout en seulement deux mois. Des chercheurs de la firme de sécurité technologique Sentinel One ont enquêté sur un serveur utilisé par des cybercriminels en octobre 2019 pour transformer un petit trou de sécurité dans un réseau d’entreprise en une attaque basée sur le ransomware Ryuk.

Selon cette précieuse étude, le réseau a été initialement infecté par le malware Trickbot. Après que des logiciels malveillants aient traversé le réseau, les pirates ont commencé à analyser la zone pour savoir à quoi ils avaient accès et comment en tirer parti. « Au fil du temps, ils creusent le réseau et essaient de le cartographier et de comprendre à quoi il ressemble. Ils ont un but et leur but est de monétiser les données, le réseau pour leur gain illégal », a déclaré Joshua Platt, un Sentinel Un chercheur, interviewé par ZDNet.

« Ils comprennent déjà qu’il existe un potentiel pour gagner de l’argent et cherchent à étendre cet effet de levier », explique le chercheur en détaillant leurs motivations. Une fois que les pirates ont décidé d’exploiter la brèche dans le réseau, ils utilisent des outils tels que PowerTrick et Cobalt Strike pour sécuriser leur emprise sur le réseau et l’explorer davantage, à la recherche de ports ouverts et d’autres appareils auxquels ils pourraient accéder.

Un ransomware particulièrement virulent
Ce n’est qu’à ce moment-là qu’ils décident de passer à la phase des besoins de solution. Selon Sentinel One, il a fallu environ deux semaines pour passer de la première infection TrickBot au profilage réseau, puis aux attaques de logiciels malveillants Ryuk. « Sur la base de l’horodatage, nous pouvons deviner l’attente de deux semaines », explique la société. Pour rappel, Ryuk a été vu pour la première fois en août 2018 et était responsable de plusieurs attaques dans le monde, selon le communiqué du National Cybersecurity Center au Royaume-Uni l’année dernière.

Il s’agit d’un logiciel de rançon ciblé: la rançon est fixée en fonction de la capacité de paiement de la victime, et il peut s’écouler plusieurs jours voire plusieurs mois entre la première infection et l’activation de la rançon. ransomware car les pirates ont besoin de temps pour identifier les systèmes réseau les plus critiques. Mais le NCSC a déclaré que le retard donne également aux défenseurs une fenêtre d’opportunité pour empêcher les ransomwares de lancer l’attaque s’ils peuvent détecter la première infection.

Selon le FBI, Ryuk est un projet extrêmement lucratif pour ses promoteurs criminels, générant environ 61 millions de dollars de rançon entre février 2018 et octobre 2019. Le fait que Ryuk ait réussi à forcer les entreprises à payer une rançon signifie que les escrocs ont un coffre de guerre arrondi qu’ils peuvent affiner leurs attaques. « Bien sûr, cela va augmenter; ils ont maintenant plus d’argent et plus de capacité pour embaucher encore plus de talents », prévient Joshua Platt.LIEN

Catégories
Etude informatique Ransomware Sécurité

Ransomware: comment les pirates le font, et comment se protéger!

Les ransomwares peuvent filtrer une personne pour l’endettement ou faire couler une entreprise. Se protéger d’eux est un gros problème, d’autant plus que les cybercriminels développent des versions toujours plus virulentes et convaincantes de leurs outils.

«Les ransomwares représentent actuellement la menace informatique la plus grave pour les entreprises et les institutions. Cet avertissement vient de l’ANSSI, l’agence française à la pointe de la cybersécurité. Il faut dire que si les ransomwares (ou ransomwares en anglais) sont utilisés depuis plusieurs décennies pour extorquer quelques centaines d’euros aux particuliers, ils attaquent de plus en plus les grandes entreprises. En conséquence, les cinq principaux gangs concentrent l’attention des médias sur leurs principales opérations, mais le ransomware d’identification du site de référence présente plus de 800 ransomwares différents, dont la majorité sont des individus ciblés.

Lorsqu’ils contaminent avec succès un système, les cybercriminels ont besoin d’une rançon pour être restaurés. Il s’élève à plusieurs centaines d’euros pour les particuliers et peut dépasser dix millions d’euros pour les grands groupes.

Ces opérations sont rentables avec un bénéfice annuel estimé à 2 milliards de dollars. Sur la base de ce succès, les principaux gangs contrôlant les ransomwares sont désormais en mesure de « lancer des attaques avec un niveau de sophistication équivalent aux opérations d’espionnage informatique gérées par l’État », a expliqué l’ANSSI.LIEN

Catégories
Attaque Etude hyères informatique Non classé Ransomware Sécurité

Ransomware: les e-mails de phishing sont de nouveau à la mode

Le courrier électronique était autrefois la principale méthode de distribution des ransomwares. Maintenant, de nouvelles formes de ransomware l’utilisent à nouveau.

Les attaques de ransomwares par e-mail sont à nouveau en hausse, avec plusieurs nouvelles familles de ransomwares récemment distribuées via des messages de phishing.

Le courrier électronique a été le moyen le plus productif d’infecter les victimes avec des rançongiciels pendant un certain temps, mais ces dernières années, les attaquants ont réussi à utiliser des ports RDP externes, des serveurs publics non sécurisés et d’autres vulnérabilités de réseau d’entreprise pour crypter des réseaux entiers – ce qui nécessite souvent des centaines de milliers de dollars pour accéder à nouveau aux données.

Ces dernières semaines, cependant, les chercheurs de Proofpoint ont constaté une augmentation du nombre d’attaques de ransomwares distribuées par e-mail. Certains escrocs ont envoyé des centaines de milliers de messages chaque jour. Les attaques par e-mail utilisent une variété de leurres pour inciter les gens à les ouvrir, y compris les lignes d’objet liées au coronavirus.

L’une des plus grandes campagnes de messagerie électronique est celle d’un nouveau ransomware appelé Avaddon: en une semaine en juin, ce ransomware a été distribué dans plus d’un million de messages, ciblant principalement des organisations aux États-Unis. Avaddon utilise une technique assez basique comme leurre, avec des lignes de sujet prétendant se rapporter à une photo de la victime, attaquant la vanité ou l’insécurité potentielle de la victime. Si la pièce jointe est ouverte, elle télécharge Avaddon à l’aide de PowerShell.

Les ordinateurs infectés mettent une rançon qui nécessite 800 $ en bitcoins en échange d’un « logiciel spécial » pour décrypter le disque dur.

Les gens à la croisée des chemins
L’attaquant derrière Avaddon offre une assistance 24h / 24 et 7j / 7 pour garantir que les victimes disposent des outils nécessaires pour payer la rançon et avertit que si les utilisateurs tentent de récupérer leurs fichiers sans payer, ils risquent de les perdre pour toujours.

Une autre campagne de ransomware par e-mail, détaillée par des chercheurs, a été baptisée « Mr. Robot ». Il cible les entreprises de divertissement, de fabrication et de construction à travers les États-Unis. Les messages prétendument émanant du ministère de la Santé ou des Services de santé utilisent des sujets liés aux résultats du test Covid-19 dans le but d’encourager les victimes à cliquer sur un lien pour afficher un document.

Si la victime clique dessus, un ransomware est installé et les attaquants ont besoin de 100 $ pour récupérer les fichiers. C’est une petite quantité par rapport à de nombreuses campagnes de rançongiciels, ce qui suggère que ce malware cible les utilisateurs à domicile plutôt que les entreprises.

Mais non seulement les organisations en Amérique du Nord sont confrontées à un nombre croissant d’attaques par ransomware de messagerie: elles visent également l’Europe.

Les chercheurs notent que le ransomware de Philadelphie – qui revient après une aberration de trois ans – est destiné aux entreprises alimentaires et de fabrication allemandes avec des leurres de langue allemande qui prétendent provenir du gouvernement allemand.

Les e-mails prétendent contenir des informations sur la fermeture éventuelle de l’entreprise en raison de la pandémie de Covid-19 et exhortent la victime à cliquer sur un lien: s’ils le font, le rançongiciel Philadelphie est installé, avec une note en anglais exigeant le paiement de 200 $.

Alors que le nombre d’attaques par ransomware par courrier électronique est encore faible par rapport à 2016 et 2017, lorsque Locky, Cerber et GlobeImposter étaient massivement distribués, le récent pic des attaques par courrier électronique montre à quel point les cybercriminels peuvent être flexibles.

«Il est raisonnable de dire que les attaques de ransomwares basées sur les e-mails sont laissées dans l’esprit des acteurs malveillants. Ils ont tendance à être flexibles et agiles dans leur travail », a déclaré Sherrod DeGrippo, directeur principal de la recherche et de l’enregistrement des menaces chez Proofpoint.

«Ils veulent se concentrer sur ce qui donne le plus de gain financier et changer de tactique pour obtenir les meilleurs résultats. Cela peut être un simple test d’eau pour voir quels taux de réussite sont disponibles avec cette méthode », a-t-elle ajouté.

L’une des raisons pour lesquelles certains attaquants ont pu revenir au courrier électronique est le nombre de personnes travaillant à distance et la dépendance à l’égard du courrier électronique qu’il implique. « Le courrier électronique permet aux acteurs malveillants de s’appuyer sur le comportement humain pour réussir en un seul clic », a déclaré DeGrippo.

Dans de nombreux cas, il est possible de se défendre contre les ransomwares – et autres attaques de logiciels malveillants – en s’assurant que les réseaux sont corrigés avec les dernières mises à jour de sécurité, empêchant les attaquants d’exploiter les vulnérabilités logicielles connues.

Cependant, les entreprises doivent également prévoir de tenir compte du fait qu’à un moment donné, quelqu’un cliquera par erreur sur un lien malveillant dans un e-mail de phishing.

« Les entreprises doivent supposer que quelqu’un de leur organisation cliquera et développera toujours une stratégie de sécurité qui protège d’abord les gens », a déclaré DeGrippo.

« Les entreprises doivent veiller à évaluer la vulnérabilité des utilisateurs finaux et à tirer des enseignements des menaces actuelles en leur fournissant des compétences utiles pour se protéger au travail et dans leur vie personnelle. »

Catégories
Attaque hyères informatique Ransomware Shade

Les auteurs du rançongiciel Shade mettent fin aux opérations, libèrent 750 000 clés de déchiffrement individuelles et demandent pardon

Les auteurs du rançongiciel Shade mettent fin aux opérations

Des pirates informatiques derrière des ransomwares connus sous le nom de Shade, Troldesh ou Encoder.858 annoncent la fin de leurs activités. Dans un message étonnant sur Github, ils s’excusent auprès de leurs victimes et publient 750 000 clés de décryptage ainsi que des logiciels de cybercriminels pour décrypter les données sur les machines infectées.

Shade Ransomware est opérationnel depuis environ 2014. Contrairement à d’autres familles de ransomwares qui évitent de chiffrer les stations tierces en Russie et dans d’autres pays de l’ex-Union soviétique, Shade les a ciblées depuis la Russie et l’Ukraine.

Michael Gillespie, créateur de l’ID Ransomware du site d’identification des ransomwares, rapporte que les demandes d’informations s’y rapportant étaient régulières dans les années précédant la fin de l’année précédente, date à laquelle elles ont commencé à décliner. La création récente d’une archive GitHub révèle la raison de ce déclin. En résumé, les auteurs du ransomware ont déclaré avoir cessé de mener des attaques fin 2019.

« Nous sommes l’équipe qui a créé un cheval de Troie, principalement connu sous le nom de Shade, Troldesh ou Encoder.858. En fait, nous avons cessé de le distribuer fin 2019. Nous avons maintenant décidé de mettre fin à cette histoire et de publier tous Nous avons également des clés de déchiffrement en notre possession (plus de 750 000 au total), nous publions également notre logiciel de déchiffrement et espérons également que lorsque les fournisseurs d’antivirus, lorsqu’ils auront les clés de déchiffrement, pourront publier des outils de déchiffrement plus conviviaux. l’activité (y compris le code source du cheval de Troie) est irrémédiablement corrompue. Nous nous excusons auprès de toutes les victimes du cheval de Troie et espérons que les clés que nous avons libérées les aideront à récupérer leurs données « , ont-ils déclaré.

Fondamentalement, l’archive GitHub contient 5 clés de déchiffrement principales, plus de 750 000 clés de déchiffrement individuelles, des instructions sur la façon de les utiliser et un lien vers leur logiciel de déchiffrement.

Kaspersky a confirmé la validité de ces clés. L’éditeur met à jour son outil RakhniDecryptor pour faciliter la tâche aux victimes souhaitant récupérer leurs données. Contrairement à d’autres groupes de hackers spécialisés dans les ransomwares, l’équipe derrière Shade était principalement active en Ukraine et en Russie.

Catégories
Attaque informatique maze Ransomware Sécurité

LG et Xerox attaqués par Maze?

LG et Xerox, toutes nouvelles victimes pour Maze? Le groupe de cybercriminalité derrière le ransomware vient d’ajouter les deux multinationales à son emplacement vitrine. C’est sur la liste des entreprises qui « refusent de coopérer » et « tentent de camoufler l’attaque ». Quant à LG

LG et Xerox attaqués par Maze?

Le groupe de cybercriminalité derrière le ransomware vient d’ajouter les deux multinationales à son emplacement vitrine. C’est sur la liste des entreprises qui « refusent de coopérer » et « tentent de camoufler l’attaque ».

Concernant LG, une première archive (.rar) est publiée. Il contiendra env. 1% des données volées au groupe coréen. Le mot de passe le protégeant « sera livré ultérieurement ».

Le butin total comprendra, entre autres, 40 Go de code source pour les produits livrés à « une entreprise mondiale de télécommunications ».

Une capture d’écran suggère qu’il s’agit d’AT & T. Il existe un fichier KDZ qui correspond au format de firmware LG. Un autre écran affiche une liste de fichiers Python. La propriété du code est associée au domaine lgepartner.com, enregistré au nom de LG Electronics.

Les cas LG et Xerox l’illustrent: les créateurs de Maze se sont fait connaître pour leurs communications « offensives ».

Un de leurs sites Internet a actuellement une note datée du 22 juin 2020. Il prépare le rapport du « suicide » qui engage les entreprises qui tentent de récupérer elles-mêmes leurs données.

« Certains ont entamé le processus fin 2019 et sont toujours à la recherche d’une solution », peut-on lire. En moyenne, les deux fois et demi ont payé plus que la taille de notre première offre. « 

Et vivez quelques chiffres où que vous soyez:

Coût de récupération moyen: 60 millions de dollars
Amendes et poursuites coûtent de 18 à 37 millions de dollars
Après la divulgation des données, une perte moyenne de 50 à 60 millions de dollars pour les grandes entreprises. Certaines très grandes entreprises ont perdu entre 250 et 350 millions de dollars.

Catégories
Android Attaque COVID-19 informatique Ransomware Sécurité

Des chercheurs d’ESET découvrent un nouveau ransomware pour Android

Une nouvelle famille de ransomwares, que ESET a nommée CryCryptor, a ciblé les utilisateurs d’Android au Canada sous la forme d’une application de suivi COVID-19 officielle. ESET a mis fin à l’attaque.

Avec un tweet annonçant la découverte de ce qui semblait être un malware de banque Android, les chercheurs d’ESET ont découvert une campagne de ransomware ciblant les utilisateurs d’Android au Canada. En utilisant deux sites sur le thème de COVID-19, les militants ont encouragé leurs victimes à télécharger des ransomwares déguisés en un outil de suivi COVID-19 officiel. Les deux sites ont depuis été déconnectés. Les chercheurs d’ESET ont développé un outil de décryptage pour les victimes de CryCryptor grâce à une erreur d’application malveillante.LIEN