Cette semaine a été chargée en matière de ransomware, avec des attaques de ransomware ayant un impact massif sur les organisations et les retombées des violations MOVEit seront divulguées.

BleepingComputer a également révélé en exclusivité que le géant du bâtiment et de l’automatisation Johnson Controls International avait subi une attaque de ransomware Dark Angels, les acteurs menaçants affirmant avoir volé 27 To de données sur 25 serveurs de fichiers.

La cyberattaque aurait été lancée dans les bureaux asiatiques, à partir de laquelle les auteurs de la menace se sont propagés au reste du réseau de l’entreprise. Pendant ce temps, les attaquants prétendent avoir volé des fichiers DWG, des documents d’ingénierie, des bases de données, des documents confidentiels et des contrats clients.

Peu de temps après que BleepingComputer a annoncé la nouvelle, Johnson Controls a soumis un formulaire 8-K auprès de la SEC, confirmant avoir subi une cyberattaque.

Nous continuons également de constater les effets des attaques massives de vol de données MOVEit de Clop, avec l’avertissement du National Student Clearinghouse concernant une violation de données qui a touché 890 écoles et la violation du registre des enfants BORN Ontario qui a touché 3,4 millions de personnes, y compris des patients de l’Hospital for Sick Children. (Enfants malades).

Les entreprises de cybersécurité, les journalistes et les forces de l’ordre ont également publié des rapports intéressants cette semaine :

Les contributeurs et ceux qui ont fourni de nouvelles informations et histoires sur les ransomwares cette semaine incluent @serghei, @Ionut_Ilascu, @BleepinComputer, @fwosar, @Seifreed, @demonslay335, @billtoulas, @LawrenceAbrams, @malwrhunterteam, @MalGamy12, @billseagull, @coveware, @GroupIB_TI, @briankrebs, @pcrisk, @FBI, @jgreigjet @DrWeb_antivirus.

23 septembre 2023

La violation de données du National Student Clearinghouse affecte 890 écoles

L’organisation éducative américaine à but non lucratif National Student Clearinghouse (NSC) a révélé une violation de données affectant 890 écoles utilisant ses services à travers les États-Unis.

25 septembre 2023

La violation des données du registre des enfants de BORN Ontario touche 3,4 millions de personnes

Le Better Outcomes Registry & Network (BORN), un organisme de soins de santé financé par le gouvernement de l’Ontario, a annoncé qu’il faisait partie des victimes de la vague de piratage MOVEit du ransomware Clop.

Megazord : un ransomware écrit en RUST

Rédaction technique sur la nouvelle variante PowerRanges d’Akira, appelée en interne Megazord.

Le ransomware Megazord est une nouvelle variante du ransomware Akira. Le ransomware Akira est apparu en mars 2023 et une version Linux est apparue en juin. La méthode de cryptage est une combinaison de RSA + AES pour crypter les fichiers. Le ransomware Megazord est différent du précédent en ce sens qu’il est écrit en langage Rust et utilise une combinaison de l’algorithme de chiffrement asymétrique à courbe elliptique Curve25519 et de l’algorithme de chiffrement symétrique Sosemanuk pour chiffrer. Le suffixe du fichier crypté est .powerranges et il est également inclus dans chaque dossier. Déposez un document de ransomware.

Nouvelles variantes du ransomware STOP

PCrisque trouvé de nouvelles variantes du ransomware STOP qui ajoutent le .azhi, .azqtet .azop extensions.

Nouvelle variante du ransomware Phobos

PCrisk a trouvé une nouvelle variante du ransomware Phobos qui ajoute le .profond extension.

26 septembre 2023

SickKids touché par la violation de données BORN Ontario qui a touché 3,4 millions

Le Hospital for Sick Children, plus communément appelé SickKids, fait partie des prestataires de soins de santé touchés par la récente violation de BORN Ontario.

Les pirates de ShadowSyndicate liés à plusieurs opérations de ransomware, 85 serveurs

Les chercheurs en sécurité ont identifié l’infrastructure appartenant à un acteur malveillant désormais identifié sous le nom de ShadowSyndicate, qui a probablement déployé sept familles de ransomwares différentes lors d’attaques au cours de l’année écoulée.

Des pirates exploitent activement la faille Openfire pour chiffrer les serveurs

Les pirates exploitent activement une vulnérabilité de haute gravité dans les serveurs de messagerie Openfire pour chiffrer les serveurs avec un ransomware et déployer des cryptomineurs.

Nouveau rançongiciel Night Crow

PCrisk a découvert un nouveau ransomware nommé Night Crow qui ajoute le .NIGHT_CROW et laisse tomber une demande de rançon nommée NIGHT_CROW_RECOVERY.txt.

L’entreprise de logistique de Kettering entre en redressement judiciaire avec 730 emplois supprimés

Une entreprise de logistique et de formation ciblée par une cyberattaque « importante » est entrée sous administration.

27 septembre 2023

Le géant de l’automatisation des bâtiments Johnson Controls touché par une attaque de ransomware

Johnson Controls International a subi ce qui est décrit comme une attaque massive de ransomware qui a chiffré de nombreux appareils de l’entreprise, y compris les serveurs VMware ESXi, affectant ainsi les opérations de l’entreprise et de ses filiales.

Le groupe de rançon « Snatch » expose les adresses IP des visiteurs

Le site de humiliation aux victimes exploité par le groupe de ransomware Snatch divulgue des données sur sa véritable localisation en ligne et ses opérations internes, ainsi que les adresses Internet de ses visiteurs, a découvert KrebsOnSecurity. Les données divulguées suggèrent que Snatch est l’un des nombreux groupes de ransomwares qui utilisent des publicités payantes sur Google.com pour inciter les gens à installer des logiciels malveillants déguisés en logiciels gratuits populaires, tels que Microsoft Teams, Adobe Reader, Mozilla Thunderbird et Discord.

Nouvelle variante du Dharma

PCrisk a trouvé une nouvelle variante du Dharma qui ajoute le .DOOK extension.

Nouvelle variante Xoriste

PCrisk a trouvé une nouvelle variante Xorist qui ajoute le .A obtenu extension.

Nouvelles variantes du ransomware STOP

PCrisque trouvé de nouvelles variantes du ransomware STOP qui ajoutent le .mzhi, .mzopet .mzqt extensions.

28 septembre 2023

FBI : les victimes d’une double attaque de ransomware sont désormais touchées dans les 48 heures

Le FBI a mis en garde contre une nouvelle tendance dans les attaques de ransomwares, où plusieurs souches sont déployées sur les réseaux des victimes pour chiffrer les systèmes en moins de deux jours.

Nouvelle variante de Medusa

PCrisk a trouvé une nouvelle variante de Medusa qui ajoute le .meduza24 extension.

29 septembre 2023

Un grand prestataire de soins de santé du Michigan confirme une attaque de ransomware

L’un des plus grands systèmes de santé du Michigan a confirmé qu’il faisait face à une attaque de ransomware après qu’un célèbre gang de hackers se soit vanté de l’incident.

Nouveau ransomware électronique

PCrisk a trouvé une nouvelle variante de ransomware qui ajoute le .ÉLECTRONIQUE et laisse tomber une demande de rançon nommée README ELECTRONIQUE.txt.

C’est tout pour cette semaine ! J’espère que tout le monde passe un bon week-end !