Les gangs de ransomwares continuent de s’en prendre aux entreprises, leurs attaques perturbant les opérations commerciales et entraînant des violations de données si une rançon n’est pas payée.
Cette semaine, nous avons appris trois attaques ayant touché des entreprises bien connues, BianLian revendiquant l’attaque contre Air Canada et ALPHV revendiquant une attaque contre les tribunaux d’État du nord-ouest de la Floride (qui fait partie du premier circuit judiciaire) la semaine dernière.
Une cyberattaque contre Simpson Manufacturing a provoqué la fermeture des systèmes informatiques de l’entreprise, mais il n’a pas été confirmé qu’il s’agissait d’une attaque de ransomware.
Par ailleurs, un acteur malveillant a publié le code source de la première version du ransomware Hello Kitty, prétendant en développer une nouvelle qui rivaliserait avec LockBit.
Enfin, des chercheurs et des agences gouvernementales ont publié cette semaine des nouvelles intéressantes :
- Un nouveau Résumé des tendances des ransomwares au troisième trimestre 2023 montre que les ransomwares continuent d’exploser, le troisième trimestre étant le trimestre le plus réussi jamais enregistré.
- Le FBI a partagé des détails techniques, des conseils de défense et des IOC pour le ransomware AvosLocker, qui n’a pas été actif ces derniers temps.
- Les attaques de ransomware ont désormais commencé à cibler les serveurs WS_FTP non corrigés. Cependant, ces attaques sont davantage axées sur le chiffrement que sur le vol de données.
Les contributeurs et ceux qui ont fourni de nouvelles informations et histoires sur les ransomwares cette semaine incluent : @fwosar, @demonslay335, @billtoulas, @Ionut_Ilascu, @serghei, @BleepinComputer, @malwrhunterteam, @Seifreed, @LawrenceAbrams, @SophosXOps, @3xp0rtblog, @AlvieriD, @pcrisk, @cyber_intet @LikelyMalware.
8 octobre 2023
Nouvelles variantes du ransomware STOP
PCrisque trouvé de nouvelles variantes du ransomware STOP qui ajoutent le .mlwq et .mlrd extensions aux fichiers cryptés.
9 octobre 2023
Un gang de ransomwares ALPHV revendique une attaque contre un tribunal de circuit de Floride
Le gang de ransomware ALPHV (BlackCat) a revendiqué une attaque qui a touché les tribunaux de l’État du nord-ouest de la Floride (qui fait partie du premier circuit judiciaire) la semaine dernière.
Le code source du ransomware HelloKitty a été divulgué sur un forum de piratage
Un acteur malveillant a divulgué le code source complet de la première version du ransomware HelloKitty sur un forum de hacking russophone, prétendant développer un nouveau chiffreur plus puissant.
Nouvelles variantes du ransomware STOP
PCrisk a trouvé de nouvelles variantes du ransomware STOP qui ajoutent le .mlza et .mlap extensions aux fichiers cryptés.
Nouvelle variante du ransomware Hazard
PCrisk a trouvé une variante du ransomware Hazard qui ajoute le .hazard18 (le chiffre peut être différent selon la victime) et dépose une demande de rançon nommée HOW_TO_BACK_FILES.html.
Nouvelle variante du ransomware MedusaLocker
PCrisk a trouvé une variante du ransomware MedusaLocker qui ajoute le .locknet et laisse tomber une demande de rançon nommée HOW_TO_BACK_FILES.html.
10 octobre 2023
Violation de données d’Air Europa : les clients avertis d’annuler leurs cartes de crédit
La compagnie aérienne espagnole Air Europa, troisième compagnie aérienne du pays et membre de l’alliance SkyTeam, a averti lundi ses clients d’annuler leur carte de crédit après que des attaquants ont accédé aux informations de leur carte lors d’une récente violation de données.
11 octobre 2023
Le groupe d’extorsion BianLian revendique une récente violation d’Air Canada
Le groupe d’extorsion BianLian affirme avoir volé 210 Go de données après avoir piraté le réseau d’Air Canada, la plus grande compagnie aérienne du pays et membre fondateur de Star Alliance.
Simpson Manufacturing arrête ses systèmes informatiques après une cyberattaque
Simpson Manufacturing a divulgué via un dépôt SEC 8-K un incident de cybersécurité qui a provoqué des perturbations dans ses opérations, qui devraient se poursuivre.
Distribution des arrêts Magniber Ransomware (depuis le 25 août)
Grâce à un processus de surveillance continue, l’AhnLab Security Emergency Response Center (ASEC) répond rapidement à Magniber, le principal malware activement distribué en utilisant la méthode de typosquatting qui abuse des fautes de frappe dans les adresses de domaine. Après la diffusion des règles de blocage de la technique d’injection utilisée par Magniber, l’ASEC a publié un article sur les informations pertinentes le 10 août.
Tendances des ransomwares 2023, rapport du troisième trimestre
Le troisième trimestre restera dans les mémoires comme un nouveau record pour l’industrie des ransomwares, car il s’agit du trimestre le plus réussi jamais enregistré.
12 octobre 2023
Le FBI partage des détails techniques et des conseils de défense sur le ransomware AvosLocker
Le gouvernement américain a mis à jour la liste des outils utilisés par les affiliés du ransomware AvosLocker dans les attaques pour inclure des utilitaires open source ainsi que des PowerShell personnalisés et des scripts batch.
Les attaques de ransomware ciblent désormais les serveurs WS_FTP non corrigés
Les serveurs WS_FTP exposés à Internet et non corrigés contre une vulnérabilité de gravité maximale sont désormais la cible d’attaques de ransomware.
