Les nouvelles de cette semaine sont pleines d’action, la police incitant les rançongiciels à libérer les clés des victimes qualifiant de menteurs les opérations de rançongiciels.
La nouvelle la plus intéressante de cette semaine concerne la police néerlandaise et Responders.NU travaillant sur une supercherie sur l’opération DeadBolt Ransomware qui les a amenés à fournir plus de 155 clés de déchiffrement aux victimes.
D’autres recherches intéressantes incluent de faux sites pour adultes poussant des essuie-glaces de données, des TTP sur Black Basta, des informations sur un nouveau Prestige Ransomware ciblant l’Ukraine et la Pologne, et le ransomware Magniber installé via des fichiers JavaScript.
Nous avons également appris des informations sur certaines attaques qui ont été rendues publiques récemment.
L’organisation de soins de santé CommonSpirit a admis cette semaine avoir subi une attaque de ransomware. Cependant, ADATA nie avoir subi une attaque récente de RansomHouse et affirme que les données sont recirculées à partir d’une violation de 2021 par RagnarLocker.
Les contributeurs et ceux qui ont fourni de nouvelles informations et histoires sur les rançongiciels cette semaine incluent : @struppigel, @VK_Intel, @serghei, @BleepinComputer, @billtoulas, @LawrenceAbrams, @malwareforme, @ demonslay335, @FourOctets, @jorntvdw, @PolarToffee, @Ionut_Ilascu, @Seifreed, @fwosar, @malwrhunterteam, @DanielGallagher, @AuCyble, @UID_, @linuxct, @MsftSecIntel, @ahnlab, @Amermelsad, @TrendMicroet @pcrisk.
8 octobre 2022
L’ADATA dément la cyberattaque de RansomHouse et affirme que les données divulguées lors de la violation de 2021
Le fabricant de puces taïwanais ADATA nie les allégations d’une cyberattaque RansomHouse après que les acteurs de la menace ont commencé à publier des fichiers volés sur leur site de fuite de données.
De faux sites pour adultes poussent des effaceurs de données déguisés en rançongiciels
Les sites Web malveillants pour adultes poussent de faux rançongiciels qui, en réalité, agissent comme un essuie-glace qui essaie discrètement de supprimer presque toutes les données de votre appareil.
10 octobre 2022
Nouvelle variante de VoidCrypt
PCrisque trouvé une variante VoidCrypt qui ajoute le .solo extension et dépose une note de rançon nommée déverrouiller-info.txt.
Nouvelle variante du Dharma
PCrisk a trouvé une nouvelle variante du Dharma qui ajoute le .dkey extension aux fichiers cryptés.
11 octobre 2022
Les serveurs Microsoft Exchange piratés pour déployer le rançongiciel LockBit
Microsoft enquête sur des rapports faisant état d’un nouveau bogue zero-day abusé pour pirater des serveurs Exchange qui ont ensuite été utilisés pour lancer des attaques de ransomware Lockbit.
Le FinCEN inflige une amende de 29 millions de dollars à Bittrex
« Pendant des années, le programme AML de Bittrex et les échecs de signalement SAR ont inutilement exposé le système financier américain aux acteurs de la menace », a déclaré le directeur par intérim du FinCEN, Himamauli Das. « Les échecs de Bittrex ont créé une exposition à des contreparties à haut risque, notamment des juridictions sanctionnées, des marchés darknet et des attaquants de ransomware. Les fournisseurs de services d’actifs virtuels sont avertis qu’ils doivent mettre en œuvre de solides programmes de conformité basés sur les risques et respecter leurs exigences de déclaration BSA. Le FinCEN n’hésitera pas à agir lorsqu’il identifiera des violations délibérées de la BSA.
12 octobre 2022
CommonSpirit confirme l’attaque par ransomware
Comme indiqué précédemment, dès la découverte de l’attaque par rançongiciel, nous avons pris des mesures immédiates pour protéger nos systèmes, contenir l’incident, ouvrir une enquête et assurer la continuité des soins. Nos installations suivent les protocoles existants pour les pannes de système, ce qui inclut la mise hors ligne de certains systèmes, tels que les dossiers de santé électroniques. De plus, nous prenons des mesures pour atténuer les perturbations et maintenir la continuité des soins. Pour aider et soutenir davantage notre équipe dans le processus d’enquête et de réponse, nous avons engagé des spécialistes de la cybersécurité de premier plan et informé les forces de l’ordre.
Black Basta Ransomware Gang infiltre les réseaux via QAKBOT, Brute Ratel et Cobalt Strike
Nous avons analysé un cas lié à QAKBOT menant à une charge utile Brute Ratel C4 et Cobalt Strike qui peut être attribuée aux acteurs de la menace derrière le rançongiciel Black Basta.
Nouvelles variantes de ransomware STOP
PCrisk a trouvé de nouvelles variantes de ransomware STOP qui ajoutent les extensions .powz et .pohj.
13 octobre 2022
Le rançongiciel Magniber infecte désormais les utilisateurs de Windows via des fichiers JavaScript
Une récente campagne malveillante diffusant le rançongiciel Magniber a ciblé les utilisateurs à domicile de Windows avec de fausses mises à jour de sécurité.
Nouvelle variante du Dharma
PCrisque trouvé une nouvelle variante du Dharma qui ajoute le .CYBER extension aux fichiers cryptés et dépose une note de rançon nommée CYBER.txt.
14 octobre 2022
Microsoft : le nouveau rançongiciel Prestige cible des organisations en Ukraine et en Pologne
Microsoft affirme que le nouveau rançongiciel Prestige est utilisé pour cibler les organisations de transport et de logistique en Ukraine et en Pologne dans le cadre d’attaques en cours.
La police trompe le rançongiciel DeadBolt sur 155 clés de déchiffrement
La police nationale néerlandaise, en collaboration avec la société de cybersécurité Responders.NU, a obtenu 155 clés de déchiffrement du gang de rançongiciels DeadBolt en simulant le paiement de rançons.
Ransom Cartel Ransomware : une connexion possible avec REvil
Dans ce rapport, nous fournirons notre analyse du ransomware Ransom Cartel, ainsi que notre évaluation des liens possibles entre REvil et le ransomware Ransom Cartel.
Pourquoi appeler la police après une cyberattaque ? Parce qu’ils t’attendent
Par exemple, après que la GRC a saisi la crypto-monnaie détenue par le Canadien Sébastien Vachon-Desjardins, un affilié du gang de rançongiciels Netwalker, elle a tenté de restituer les fonds aux victimes canadiennes. Certaines organisations ont refusé de reconnaître avoir été touchées, a-t-elle déclaré.
