Aujourd’hui nous allons vous parler de 4 ransomwares dangereux dont les principales cibles sont les entreprises !
Selon LeMondeInformatique.fr, l’Unité 42 de l’entreprise américaine Palo Alto Networks, spécialisée dans la construction de matériel informatique, a identifié 4 ransomwares.
4 ransomwares dangereux ont été détectés !
Nous avons pu recenser, pour vous, leur comportement après une étude effectuée par cette entreprise.
Mais qu’est-ce qu’un ransomware ?
Rappelons-le, un ransomware autrement dit un malware de rançonnage ou rançongiciel est un type de malware.
Il empêche l’utilisateur d’accéder à leur système ou à leur fichiers personnels.
Ce genre de malware exige le paiement d’une rançon en contrepartie du rétablissement de l’accès.
*malware = logiciel malveillant.
Voici les 4 nouveaux ransomwares à surveiller et à s’en méfier :
AvosLocker
Première apparition : juillet 2021
Fonctionnement : il fonctionne selon le modèle de Ransomware-as-a-service (RaaS).
Sa rançon comporte des identifiants et des informations qui permettent d’identifier les victimes.
Il demande aux victimes de se rendre sur le site Tor d’AvosLocker afin de récupérer et restaurer leurs données.
Montant de la rançon : 50 000-70 000$
Bilan : au total, 7 entreprises dans le monde en ont été victimes.
Hive Ransomware
Première apparition : juin 2021
Fonctionnement : il dépose deux scripts batch quand on l’éxecute :
- hive.bat : qui tente de se supprimer lui-même
- shadow.bat : qui supprime les copies masquées du système
De plus, il ajoute une extension aux fichiers chiffrés. Celle-ci est alors reconnaissable des caractères aléatoires et finissant par “.hive”.
Enfin, il dépose une note de rançon qui se nomme “HOW_TO_DECRYPT.txt” et qui contient des instructions et directives pour éviter la perte de données.
Bilan : les entreprises de santé et entreprises mal équipées contre la lutte aux cyber-attaques sont donc les principales cibles.
HelloKitty : édition Linux
Première apparition : courant 2020
Fonctionnement : un échantillon Linux se nommant “funny_linux.elf” qui contient une note de rançon a été détecté.
Les attaquants privilégient un mode de communication composé d’un mélange d’URL Tor et d’adresses électroniques Protonmail (messagerie web chiffrée) spécifique à chaque victime.
Cela implique donc possiblement des campagnes différentes avec des acteurs différents d’une attaque à l’autre mais utilisant les mêmes bases de code de logiciels malveillants.
Montant de la rançon : allant jusqu’à 10 millions de dollars.
Bilan : ce ransomware cible surtout les systèmes Windows.
LockBit 2.0
Première apparition : courant 2019
Fonctionnement : il fonctionne également comme un ransomware-as-a-service (RaaS).
Il débute le cryptage des fichiers et ajoute l’extension “.lockbit”. Dès lors que le chiffrement est terminé, une note de rançon intitulée Restore-My-Files.txt informe sur la compromission et donne des conseils
Selon les chercheurs “Tous les messages postés par les acteurs de la menace sur leur site incluent un compte à rebours avant la divulgation publique des informations confidentielles volées à l’entreprise victime, […]“
De plus, les acteurs ont affirmé que leur logiciel de chiffrement est l’un des plus rapides en activité.
Bilan : 52 entreprises mondiales ont été touchées.
À savoir que les auteurs des faits demandent à être payés de préférence en cryptomonnaie (par exemple : Monero, Bitcoin) ou par carte de crédit.
Guiltek, professionnel référencé en cyber-malveillance est là aussi pour vous informer, vous conseiller et vous protéger sur les cyber-attaques. Soyez vigilants et adoptez les bonnes manières !
