Easyjet est menacé de faillite en raison d’une attaque informatique. La victime du piratage des données personnelles de neuf millions de clients est sollicitée pour 20 milliards d’euros par un cabinet d’avocats qui mène une action collective. LIEN
Catégorie : COVID-19
Sodinokibi rejoint la liste des ransomwares qui utilise le gestionnaire de redémarrage de Windows pour faciliter le chiffrement des fichiers.
Gestionnaire de redémarrage Windows, meilleur allié des ransomwares?
Nous avons vu des références comme SamSam et LockerGoga en faire usage.
Sodinokibi – également connu sous le nom de REvil – vient de rejoindre la liste.
En règle générale, l’administrateur du redémarrage supprime la nécessité de redémarrer Windows après l’installation ou la mise à jour d’une application.
Les installateurs peuvent l’utiliser pour signaler les fichiers qu’ils souhaitent remplacer. Windows peut alors s’assurer que ces fichiers sont «gratuits» en fermant temporairement toutes les applications ou services qui pourraient les avoir verrouillés.
Déverrouillez pour un meilleur cryptage
Sodinokibi utilise cet outil pour assurer un accès maximal aux fichiers à chiffrer.
Il met en œuvre une routine qui tente systématiquement de réserver ledit accès. Laisse appeler l’administrateur de redémarrage en cas de conflit avec la fonction RmStartSession.
Un autre appel, cette fois à la fonction RmRegisterResources, vous permet d’attacher des ressources (ici les noms des fichiers à déverrouiller) à la session en cours.
RmGetList récupère ensuite la liste des applications et / ou services qui utilisent ces fichiers.
Sodinokibi n’a alors plus qu’à terminer la session (RmEndSession) puis fermer ces éléments. Pour les processus, cela se fait avec TerminateProcess; pour les services avec ControlService puis DeleteService.
Étant donné que l’administrateur de redémarrage ne peut pas agir sur les processus critiques, ce statut est extrait à l’avance avec ZwSetInformationProcess.
- LockerGaga a été découvert il y a environ un an et a la particularité d’accélérer le processus en démarrant un processus pour chaque fichier à chiffrer.
SamSam, dont la première piste a été trouvée il y a quatre ans, a initialement exploité des vulnérabilités sur les serveurs JBoss. LIEN
Une attaque qui n’est pas une conséquence du coronavirus
Les services américains indiquent que le Texas Department of Justice a été victime d’une rançon, a noté le personnel informatique de l’Office of Justice. L’État fédéral a indiqué dans un communiqué de presse que le piratage n’était pas lié à la tenue de certaines audiences en ligne, motivées par la très forte pandémie de coronavirus aux États-Unis.
Dès que le ransomware a été découvert, l’équipe informatique de l’État a mis hors ligne les sites Web et les serveurs de l’ensemble du réseau juridique pour éviter de causer d’autres dommages.
Alors qu’une enquête sur la violation est toujours en cours, les tribunaux du Texas affirment qu’aucune donnée sensible ou personnelle ne semble être compromise. Elle a déclaré avoir neutralisé la propagation des ransomwares et limité son impact. L’Etat a annoncé sa ferme intention de ne verser aucune rançon. LIEN
Comme le suggère l’OCDE, la crise de Covid-19 est multidimensionnelle [1] car elle a des conséquences dramatiques dans de nombreux domaines: santé, bien sûr, mais aussi éducation, économie, marchés financiers, services publics et associations. Nos vies et nos communautés sont profondément ébranlées par cette pandémie qui révèle les lacunes de nombreuses organisations et systèmes en place. Les systèmes informatiques ne font pas exception: les réseaux d’entreprise tels que les ordinateurs personnels sont attaqués depuis des semaines avec une puissance, une précision et un volume sans précédent.
Armistice pour une bonne cause. C’est en quelque sorte le message commun envoyé par des groupes de hackers connus tels que Maze, DoppelPaymer, Ryuk, Sodinokibi / REvil, PwndLocker et Ako.
Ces groupes ont été contactés par le site Web Bleeping Computer et ont déclaré qu’ils ne cibleraient plus les établissements de santé et médicaux pendant l’épidémie de coronavirus. Cependant, ils se sont rendus compte en attaquant ces entreprises avec des ransomware, rançon qui consistait à bloquer des ordinateurs sur un réseau ou même à saisir des données et à accéder à ses propriétaires uniquement après avoir payé une rançon.
Hôpitaux non, sociétés pharmaceutiques oui
« Si nous le faisons par erreur, nous le débloquons gratuitement », disent les pirates, expliquant qu’il suffit de les contacter par e-mail et de fournir la preuve de leur déverrouillage. Mais cela ne signifie pas épargner l’industrie pharmaceutique, qui « gagne beaucoup d’argent en paniquant. Nous n’avons aucune envie de les soutenir. Pendant que les médecins agissent, ces gars s’enrichissent ».
Mardi, plusieurs sociétés comme Emsisoft et Coveware ont offert une assistance médicale gratuite pour se protéger des attaques informatiques pendant l’épidémie de Covid-19. L’hôpital de Brno en République tchèque a été la cible de ransomwares. Le département d’État américain a ainsi été victime d’une attaque DDoS dimanche dernier (grand nombre de connexions simultanées) et n’était pas disponible, empêchant les internautes de connaître des informations sur le coronavirus. LIEN
Cette application Android qui suit la propagation de l’épidémie de coronavirus dans le monde cache un ransomware dangereux. Nommée CovidLock, l’application verrouillera votre smartphone avant d’exiger une rançon en bitcoin.
CovidLock, une application pour le suivi de la pandémie de coronavirus Android, cache en fait un ransomware, rapporte Tarik Saleh, chercheur en sécurité informatique chez DomainTools. Heureusement, l’application n’est pas disponible sur le Google Play Store. CovidLock ne peut être téléchargé qu’à partir du site d’application du coronavirus. Depuis le début de la pandémie, les pirates utilisent des cartes de suivi en ligne pour propager des logiciels malveillants.
Ce malware déverrouille votre smartphone Android
Une fois le ransomware installé sur les smartphones des utilisateurs, l’appareil se verrouille rapidement. Notez que les logiciels malveillants ne peuvent être utilisés que sur les téléphones sans mot de passe. En fait, CovidLock vous définira un mot de passe pour vous empêcher d’accéder à votre terminal. Si vous avez enregistré un mot de passe sur votre smartphone, comme la plupart des utilisateurs, vous courez le risque. Pour des raisons de sécurité, nous vous invitons à sélectionner rapidement un mot de passe.
Une fois votre smartphone verrouillé, les pirates vous donnent 24 heures pour déposer 100 $ en bitcoin à une adresse BTC. En échange d’une rançon, ils s’engagent à ne pas supprimer vos données (photos, vidéos, …) et à ne pas publier de contenu privé sur les réseaux sociaux. Une fois la rançon reçue, les pirates s’engagent à fournir un code pour déverrouiller votre appareil. «Votre position GPS est surveillée et votre position est connue. Si vous essayez quelque chose de stupide, votre smartphone est automatiquement supprimé », menace le message d’avertissement affiché par les pirates.
Lire aussi: les pirates informatiques profitent de l’épidémie de coronavirus pour propager des logiciels malveillants dangereux
« Les cybercriminels aiment exploiter les utilisateurs d’Internet lorsqu’ils sont les plus vulnérables. Ils utilisent des événements dramatiques qui font peur aux gens pour faire des profits. Chaque fois qu’il y a de grands cycles de nouvelles sur un sujet qui provoque une forte réaction, les cybercriminels essaient de tirer « Nous vous invitons donc à faire preuve de prudence sur les sites non officiels liés à la pandémie. Nous vous recommandons également de ne jamais télécharger l’APK de sources inconnues. smartphone.
Lien
Employés, Federal Protection ATM, Photo Detection
Maze, Dopple, Sodinokobi, XXX … poursuivent leur activité de piratage avec l’extorsion numérique. De grandes entreprises telles que le DMC français, le fabricant de systèmes militaires et de santé Kim Chuck ou le gestionnaire du parking CivicSmart ont attaqué et sous extorsion de pression pour diffuser leurs données volées.
Malheureusement, la solution n’a plus besoin d’être présentée. Piratage et dépôt de pirates. Les documents et les machines sont cryptés par un ransomware. Pour récupérer leurs biens, les entreprises piégées doivent payer les clés de déchiffrement sans avoir la moindre sécurité pour reprendre le contrôle. Les sauvegardes nous permettent de récupérer la consommation des systèmes pris en otage.
Sauf que, comme l’explique ZATAZ depuis 2018, les pirates ont trouvé un autre moyen de faire payer les sociétés d’infiltration. Extorsion de la distribution des documents.
Des groupes comme Maze, Dopple, Sodinokibi, XXX … se spécialisent dans ce type de double extorsion. Le «double effet RGPD» lorsque j’ai baptisé cette fraude en mai 2018.
Si ces «équipes noires», les mains sur le cœur, annonçaient qu’elles n’attaqueraient plus le monde de la santé à cause de COVID-19, ce qui ne les empêchait pas de menacer les laboratoires de santé anglais, asiatiques et américains, elles n’auraient pas arrêté leurs actions malveillantes . L’encapsulation doit certainement aider, ils ont doublé leur intensité. Lien