Ransomware ou rançongiciel en français est un logiciel malveillant qui prend en otage des données. Le ransomware crypte et bloque les fichiers sur votre ordinateur et nécessite une rançon en échange d’une clé qui leur permet de les décrypter. Le ransomware, qui est apparu pour la première fois en Russie, s’est répandu dans le monde entier, principalement aux États-Unis, en Australie et en Allemagne. Souvent, le ransomware s’infiltre sous la forme d’un ver informatique, via un fichier téléchargé ou reçu par e-mail, et crypte les données et les fichiers de la victime. Le but est d’extorquer une somme d’argent qui est le plus souvent payée par monnaie virtuelle pour éviter les traces. LIEN
Depuis plusieurs années, je vous parle du double effet RGPD chez les pirates. Le double effet d’une cyber-attaque de ransomware. Voici le troisième effet, la vente aux enchères de données volées.
Je dois admettre que je n’ai pas vu venir ce troisième effet RGPD provenant de pirates informatiques et d’opérateurs de transomware. Le double effet du règlement général sur la protection des données étant annoncé depuis plusieurs années, ce troisième effet est encore plus « inquiétant ».
Le premier effet est d’héberger des machines et des fichiers en les chiffrant. Vous payez pour le décryptage des documents pris en otage. Un « classique » du chantage numérique. Des groupes comme Rex Mundi en sont devenus les maîtres en 2015.
Le deuxième effet, la menace de pirates informatiques révélant vos informations pour « alerter » les autorités.
Le troisième effet, les ventes de données volées aux enchères.
Si depuis des années je rencontre des magasins sur les marchés noirs qui se spécialisent dans ce type d’entreprise d’achat et de vente d’informations sensibles et en interne pour une entreprise, la promotion de ce marché est nouvelle.
Enchères
Les premiers à l’annoncer, les opérateurs pirates de Sodinokibi. D’abord, de manière « astucieuse », en menaçant un cabinet d’avocats new-yorkais de divulguer les informations de leurs célèbres clients: Lady Gaga, Madonna, Trump … Dans ce dernier cas, les informations et la demande de rançon ont disparu comme par magie.
Selon Lady Gaga, selon les pirates, quelqu’un aurait payé (le label? L’artiste? Un fan?). Pour Madonna, Sodinokibi réclame comme prix de départ, 1 million de dollars. Ils viennent d’annoncer les diffusions du 3 juin prochain sur les stars américaines.
Deux semaines plus tard, arrive le marché des pirates. Ils ont créé une section de leur entreprise qu’ils ont appelée «Vente aux enchères». Conclusion, nous sommes confrontés à une salle d’enchères pour les données volées à des entreprises qui n’ont pas payé les deux premiers chantage.
Dépôt de garantie de 5 000 $
Le système de hacker est très professionnel. Nous constatons qu’ils ne sont pas à leur première tentative. J’avouerais même, sans trop en dire, que leur système a déjà été vu sur deux marchés noirs, comme la gestion et la création d’un compte participant.
Le site pirate génère automatiquement un mot de passe unique pour participer aux enchères! – Source: zataz.com
Pour participer à l’enchère, il vous suffit de vous inscrire. Après avoir passé un captcha anti-bot, un identifiant de connexion de type 92829, un mot de passe et une adresse de transaction dans la crypto-monnaie Monero (XMR) sont générés automatiquement et de manière aléatoire. Une monnaie qui est devenue depuis quelques semaines la référence des voyous 2.0 abandonnant le Bitcoin. Vous remarquez dans ma capture d’écran ci-dessous que le système pirate peut changer de devise.
Une adresse de paiement dans Monero est générée par. Acheteur. Les Pirates exigent une caution de 5 000 $.
Concernant une vente notariée légitime, un acompte est demandé. C’est 5 000 dollars américains. « Avant de pouvoir enchérir, vous devez envoyer une caution », ont expliqué les pirates. Si quelqu’un d’autre gagne ce prix, votre dépôt sera remboursé. Ne t’inquiète pas. Vous verrez votre dépôt et toutes vos transactions. Si vous gagnez un prix mais ne payez pas votre mise, vous perdrez votre dépôt. »
Ransomware: Le groupe reconnaît une cyberattaque sur ses serveurs Congo le 14 mai. Il rend toujours compte des enquêtes en cours sans fournir plus de détails. L’attaquant menace bientôt de divulguer des données volées.
Le groupe Bolloré est apparu sur le blog des opérateurs de ransomware NetWalker ce week-end. L’incident remonte en fait à la mi-mai, mais il ne semble pas toucher autant le groupe que l’une de ses différentes filiales. LIEN
Lady Gaga, Madonna, Mariah Carey, Bruce Springsteen ou même les membres de U2 pourraient payer le prix d’une attaque de ransomware majeure contre un célèbre cabinet américain.
Le groupe de cybercriminels derrière le rançongiciel REvil / Sodinokibi a une nouvelle cible. Il s’agirait d’un célèbre cabinet d’avocats basé à New York. Il s’appelait Grubman Shire Meiselas & Sacks (GSMS) et il a été victime d’une tentative de chantage la semaine dernière après avoir été infecté par cette rançon.
Le 7 mai, les opérateurs REvil ont envoyé un message au personnel du GSMS sur un portail Web sombre menaçant l’entreprise de divulguer des fichiers sur ses clients, des fichiers que le gang REvil a volés du réseau interne de l’entreprise. avocats avant de crypter.
Les captures d’écran publiées sur le site suggéraient que des pirates avaient volé des documents relatifs à la clientèle de célébrités qui représente GSMS, parmi lesquels des célébrités telles que Lady Gaga, Madonna, Mariah Carey, Nicki Minaj, Bruce Springsteen, U2 ou le duo Outkast .
GSMS a confirmé l’incident et tenté d’extorsion lundi dans une déclaration au site Web de nouvelles de divertissement Variety. Les pirates ont donné à l’entreprise une semaine pour négocier et payer la rançon qui a expiré la nuit dernière lorsque les pirates ont publié un autre message sur leur site Web. Les cybercriminels ont déclaré que GSMS n’avait proposé de payer que 365 000 $ sur les 21 millions de dollars demandés. Conséquence: ce dernier a désormais doublé le besoin de solution à 42 millions de dollars.
Le spécialiste français du revêtement a été surpris par la sortie du ransomware à la mi-mars, juste après le lancement du confinement. Il semble déterminé à résister à la pression des opérateurs DoppelPaymer. LIEN
Sodinokibi rejoint la liste des ransomwares qui utilise le gestionnaire de redémarrage de Windows pour faciliter le chiffrement des fichiers.
Gestionnaire de redémarrage Windows, meilleur allié des ransomwares?
Nous avons vu des références comme SamSam et LockerGoga en faire usage.
Sodinokibi – également connu sous le nom de REvil – vient de rejoindre la liste.
En règle générale, l’administrateur du redémarrage supprime la nécessité de redémarrer Windows après l’installation ou la mise à jour d’une application.
Les installateurs peuvent l’utiliser pour signaler les fichiers qu’ils souhaitent remplacer. Windows peut alors s’assurer que ces fichiers sont «gratuits» en fermant temporairement toutes les applications ou services qui pourraient les avoir verrouillés.
Déverrouillez pour un meilleur cryptage
Sodinokibi utilise cet outil pour assurer un accès maximal aux fichiers à chiffrer.
Il met en œuvre une routine qui tente systématiquement de réserver ledit accès. Laisse appeler l’administrateur de redémarrage en cas de conflit avec la fonction RmStartSession.
Un autre appel, cette fois à la fonction RmRegisterResources, vous permet d’attacher des ressources (ici les noms des fichiers à déverrouiller) à la session en cours.
RmGetList récupère ensuite la liste des applications et / ou services qui utilisent ces fichiers.
Sodinokibi n’a alors plus qu’à terminer la session (RmEndSession) puis fermer ces éléments. Pour les processus, cela se fait avec TerminateProcess; pour les services avec ControlService puis DeleteService.
Étant donné que l’administrateur de redémarrage ne peut pas agir sur les processus critiques, ce statut est extrait à l’avance avec ZwSetInformationProcess.
LockerGaga a été découvert il y a environ un an et a la particularité d’accélérer le processus en démarrant un processus pour chaque fichier à chiffrer. SamSam, dont la première piste a été trouvée il y a quatre ans, a initialement exploité des vulnérabilités sur les serveurs JBoss. LIEN
Le ransomware reste la plus grande menaceinformatique pour les entreprises en 2020. Une étude de Sophos révèle que les victimes ne devraient jamais payer la rançon requise par les pirates, car cela doublerait presque le coût total de la rançon. La clé de chiffrement promise par les auteurs n’est jamais suffisante pour récupérer toutes les données chiffrées. LIEN
La société de services numériques s’est déclarée victime du rançongiciel Maze à la mi-avril. Aujourd’hui, elle déclare que cette cyberattaque a particulièrement affecté son organisation de devoirs en pleine pandémie. Et prédisez un impact financier entre 50 et 70 millions de dollars. LIEN
Les équipes de FireEyes Mandiant Division ont identifié trois profils d’attaque différents pour implémenter ce ransomware. Cela met en évidence l’importance de la prévention sur deux vecteurs d’attaque importants.
Pitney Bowes vient d’être ajouté à la liste des victimes du rançongiciel Maze. Ou au moins partiellement. Le transporteur assure que les cybercriminels n’ont pas chiffré les systèmes ou les données: « notre équipe et nos outils de sécurité ont identifié et arrêté les attaquants avant de pouvoir chiffrer les données ou les services ». Cependant, l’attaquant a eu le temps d’accéder à « un éventail limité de partages d’entreprises ». Pitney Bowes avait déjà été touché par Ryuk l’automne dernier. Certaines leçons semblent avoir été tirées de l’incident, mais probablement pas encore assez. LIEN
