Les gangs de ransomwares continuent de s’en prendre aux entreprises, leurs attaques perturbant les opérations commerciales et entraînant des violations de données si une rançon n’est pas payée.

Cette semaine, nous avons appris trois attaques ayant touché des entreprises bien connues, BianLian revendiquant l’attaque contre Air Canada et ALPHV revendiquant une attaque contre les tribunaux d’État du nord-ouest de la Floride (qui fait partie du premier circuit judiciaire) la semaine dernière.

Une cyberattaque contre Simpson Manufacturing a provoqué la fermeture des systèmes informatiques de l’entreprise, mais il n’a pas été confirmé qu’il s’agissait d’une attaque de ransomware.

Par ailleurs, un acteur malveillant a publié le code source de la première version du ransomware Hello Kitty, prétendant en développer une nouvelle qui rivaliserait avec LockBit.

Enfin, des chercheurs et des agences gouvernementales ont publié cette semaine des nouvelles intéressantes :

• Un nouveau Résumé des tendances des ransomwares au troisième trimestre 2023 montre que les ransomwares continuent d’exploser, le troisième trimestre étant le trimestre le plus réussi jamais enregistré.
• Le FBI a partagé des détails techniques, des conseils de défense et des IOC pour le ransomware AvosLocker, qui n’a pas été actif ces derniers temps.
• Les attaques de ransomware ont désormais commencé à cibler les serveurs WS_FTP non corrigés. Cependant, ces attaques sont davantage axées sur le chiffrement que sur le vol de données.

Les contributeurs et ceux qui ont fourni de nouvelles informations et histoires sur les ransomwares cette semaine incluent : @fwosar, @demonslay335, @billtoulas, @Ionut_Ilascu, @serghei, @BleepinComputer, @malwrhunterteam, @Seifreed, @LawrenceAbrams, @SophosXOps, @3xp0rtblog, @AlvieriD, @pcrisk, @cyber_intet @LikelyMalware.

8 octobre 2023

Nouvelles variantes du ransomware STOP

PCrisque trouvé de nouvelles variantes du ransomware STOP qui ajoutent le .mlwq et .mlrd extensions aux fichiers cryptés.

9 octobre 2023

Un gang de ransomwares ALPHV revendique une attaque contre un tribunal de circuit de Floride

Le gang de ransomware ALPHV (BlackCat) a revendiqué une attaque qui a touché les tribunaux de l’État du nord-ouest de la Floride (qui fait partie du premier circuit judiciaire) la semaine dernière.

Le code source du ransomware HelloKitty a été divulgué sur un forum de piratage

Un acteur malveillant a divulgué le code source complet de la première version du ransomware HelloKitty sur un forum de hacking russophone, prétendant développer un nouveau chiffreur plus puissant.

Nouvelles variantes du ransomware STOP

PCrisk a trouvé de nouvelles variantes du ransomware STOP qui ajoutent le .mlza et .mlap extensions aux fichiers cryptés.

Nouvelle variante du ransomware Hazard

PCrisk a trouvé une variante du ransomware Hazard qui ajoute le .hazard18 (le chiffre peut être différent selon la victime) et dépose une demande de rançon nommée HOW_TO_BACK_FILES.html.

Nouvelle variante du ransomware MedusaLocker

PCrisk a trouvé une variante du ransomware MedusaLocker qui ajoute le .locknet et laisse tomber une demande de rançon nommée HOW_TO_BACK_FILES.html.

10 octobre 2023

Violation de données d’Air Europa : les clients avertis d’annuler leurs cartes de crédit

La compagnie aérienne espagnole Air Europa, troisième compagnie aérienne du pays et membre de l’alliance SkyTeam, a averti lundi ses clients d’annuler leur carte de crédit après que des attaquants ont accédé aux informations de leur carte lors d’une récente violation de données.

11 octobre 2023

Le groupe d’extorsion BianLian revendique une récente violation d’Air Canada

Le groupe d’extorsion BianLian affirme avoir volé 210 Go de données après avoir piraté le réseau d’Air Canada, la plus grande compagnie aérienne du pays et membre fondateur de Star Alliance.

Simpson Manufacturing arrête ses systèmes informatiques après une cyberattaque

Simpson Manufacturing a divulgué via un dépôt SEC 8-K un incident de cybersécurité qui a provoqué des perturbations dans ses opérations, qui devraient se poursuivre.

Distribution des arrêts Magniber Ransomware (depuis le 25 août)

Grâce à un processus de surveillance continue, l’AhnLab Security Emergency Response Center (ASEC) répond rapidement à Magniber, le principal malware activement distribué en utilisant la méthode de typosquatting qui abuse des fautes de frappe dans les adresses de domaine. Après la diffusion des règles de blocage de la technique d’injection utilisée par Magniber, l’ASEC a publié un article sur les informations pertinentes le 10 août.

Tendances des ransomwares 2023, rapport du troisième trimestre

Le troisième trimestre restera dans les mémoires comme un nouveau record pour l’industrie des ransomwares, car il s’agit du trimestre le plus réussi jamais enregistré.

12 octobre 2023

Le FBI partage des détails techniques et des conseils de défense sur le ransomware AvosLocker

Le gouvernement américain a mis à jour la liste des outils utilisés par les affiliés du ransomware AvosLocker dans les attaques pour inclure des utilitaires open source ainsi que des PowerShell personnalisés et des scripts batch.

Les attaques de ransomware ciblent désormais les serveurs WS_FTP non corrigés

Les serveurs WS_FTP exposés à Internet et non corrigés contre une vulnérabilité de gravité maximale sont désormais la cible d’attaques de ransomware.

C’est tout pour cette semaine ! J’espère que tout le monde passe un bon week-end !