Les cinq rançongiciels les plus malveillants exigeant la crypto à surveiller

Les cinq rançongiciels les plus malveillants exigeant la crypto à surveiller

Crypto chart analysis

Comme l’interconnectivité transforme le monde en un village mondial, les cyberattaques devraient augmenter. Selon des rapports, la fin de l’année dernière a vu une augmentation du montant moyen des paiements effectués aux attaquants de ransomware, car plusieurs organisations ont été obligées de payer des millions de dollars pour que leurs fichiers soient publiés par des attaquants de logiciels malveillants.

Outre le fait que la pandémie actuelle a laissé de nombreux individus et sociétés vulnérables aux attaques, l’idée que les crypto-monnaies sont un mode de paiement anonyme et introuvable a conduit de nombreux attaquants de ransomwares à exiger le paiement en Bitcoin (BTC) et autres altcoins.

Tout récemment, un rapport publié le 23 juin par la firme de cybersécurité Fox-IT a révélé un groupe de logiciels malveillants nommé Evil Corp qui s’est déchaîné avec de nouveaux ransomwares qui demandent à ses victimes de payer un million de dollars en Bitcoin.

Le rapport révèle également que des groupes tels que Evil Corp créent des ransomwares qui ciblent les services de base de données, les environnements cloud et les serveurs de fichiers dans le but de désactiver ou de perturber les applications de sauvegarde de l’infrastructure d’une entreprise. Le 28 juin, la société de cybersécurité Symantec a annoncé avoir bloqué une attaque de ransomware par Evil Corp qui visait une trentaine d’entreprises américaines exigeant le Bitcoin en paiement.

Ces tentatives d’attaques ne sont que les exemples les plus récents de la menace croissante des attaques de ransomwares. Vous trouverez ci-dessous certains des ransomwares les plus malveillants exigeant un paiement en crypto.

WastedLocker

WastedLocker est le dernier ransomware créé par Evil Corp, un groupe actif depuis 2007 et considéré comme l’une des équipes de cybercriminalité les plus meurtrières. Après l’inculpation de deux membres présumés du groupe, Igor Turashev et Maksim Yakubets, dans le cadre des chevaux de Troie bancaires Bugat / Dridex et Zeus, Evil Corp aurait réduit ses activités.

Cependant, les chercheurs pensent maintenant qu’à partir de mai 2020, le groupe a de nouveau repris ses attaques, avec le malware WastedLocker comme sa dernière création. Le malware a été nommé «WastedLocker» en raison du nom de fichier créé par le malware, qui ajoute une abréviation du nom de la victime au mot «gaspillé».

En désactivant et en perturbant les applications de sauvegarde, les services de base de données et les environnements cloud, WastedLocker empêche la capacité de ses victimes de récupérer leurs fichiers plus longtemps, même s’il existe une configuration de sauvegarde hors ligne. Dans les cas où une entreprise manque de systèmes de sauvegarde hors ligne, la récupération peut être empêchée indéfiniment.

Les chercheurs notent cependant que contrairement à d’autres opérateurs de ransomware qui divulguent les informations des victimes, Evil Corp n’a pas menacé de publier les informations des victimes afin d’éviter d’attirer l’attention du public sur lui-même.

DoppelPaymer

DoppelPaymer est un ransomware conçu pour crypter les fichiers de sa cible, les empêchant d’accéder aux fichiers et encourageant ensuite la victime à payer une rançon pour décrypter les fichiers. Utilisé par un groupe eCrime appelé INDRIK SPIDER, le malware DoppelPaymer est une forme de rançongiciel BitPaymer et a été découvert pour la première fois en 2019 par la société de protection des points finaux du logiciel CrowdStrike.

Récemment, le ransomware a été utilisé dans une attaque contre la ville de Torrance en Californie. Plus de 200 Go de données ont été volés, les attaquants exigeant 100 Bitcoin en rançon.

D’autres rapports révèlent que le même malware a été utilisé pour attaquer le système informatique de la ville d’Alabama. Les attaquants ont menacé de publier en ligne les données privées des citoyens à moins qu’ils ne soient payés 300 000 $ en Bitcoin. L’attaque est intervenue après les avertissements d’une entreprise de cybersécurité basée dans le Wisconsin. Un spécialiste de la cybersécurité analysant le cas a indiqué que l’attaque qui avait fait tomber le système de messagerie de la ville avait été rendue possible grâce au nom d’utilisateur d’un ordinateur appartenant au gestionnaire des systèmes d’information de la ville.

Les données de Chainalysis montrent que le malware DoppelPaymer est responsable de l’un des paiements les plus importants, l’un des deux seuls à atteindre la barre des 100 000 $.

Dridex

Selon un rapport du fournisseur de cybersécurité Check Point, le logiciel malveillant Dridex est entré dans le top 10 des logiciels malveillants pour la première fois en mars 2020 après une première apparition en 2011. Le logiciel malveillant, également connu sous le nom de Bugat et Cridex, est spécialisé dans le vol d’informations d’identification bancaire. en utilisant un système de macros sur Microsoft Word.

Cependant, de nouvelles variantes du malware vont au-delà de Microsoft Word et ciblent désormais l’ensemble de la plateforme Windows. Les chercheurs notent que le malware peut être lucratif pour les criminels grâce à sa sophistication et est maintenant utilisé comme téléchargeur de ransomware.

Même si l’année dernière a vu le retrait d’un botnet lié à Dridex, les experts estiment que ces succès sont souvent de courte durée, car d’autres groupes criminels peuvent détecter le malware et l’utiliser pour d’autres attaques. Cependant, la pandémie mondiale en cours a encore intensifié l’utilisation de logiciels malveillants tels que Dridex, facilement exécutables par le biais d’attaques de phishing par e-mail, car davantage de personnes doivent rester et travailler à domicile.

Ryuk

Un autre malware qui a refait surface à la suite de la pandémie de coronavirus est le Ryuk Ransomware, connu pour cibler les hôpitaux. Le 27 mars, un porte-parole d’une société britannique de sécurité informatique a confirmé que malgré la pandémie mondiale, le rançongiciel Ryuk est toujours utilisé pour cibler les hôpitaux. Comme la plupart des cyberattaques, le malware Ryuk est distribué via des spams ou des fonctions de téléchargement géo-basées.

Le malware Ryuk est une variante d’Hermes, qui est liée à l’attaque SWIFT d’octobre 2017. On pense que les attaquants qui utilisent Ryuk depuis août ont récupéré plus de 700 Bitcoin en 52 transactions.

Revil

Alors que le paysage des ransomwares continue d’être surpeuplé par de nouvelles solutions malveillantes, des groupes de cybercriminels tels que le gang de ransomwares REvil (Sodinokibi) ont apparemment évolué avec le temps avec une sophistication accrue de leur fonctionnement. Le gang REvil fonctionne comme un RaaS (Ransomware-as-a-Service) et crée des souches de logiciels malveillants qu’il vend à d’autres groupes criminels.

Un rapport de l’équipe de sécurité KPN révèle que le malware REvil a infecté plus de 150 000 ordinateurs uniques à travers le monde. Pourtant, ces infections n’ont émergé que d’un échantillon de 148 souches du ransomware REvil. Chaque souche du rançongiciel REvil est déployée en fonction de l’infrastructure du réseau de l’entreprise pour augmenter les risques d’infection.

Récemment, le célèbre gang de rançongiciels REvil a lancé une vente aux enchères pour vendre des données volées à des entreprises incapables de payer la rançon avec des prix commençant à 50 000 $ payables à Monero (XMR). Par souci de confidentialité, le gang REvil est passé de l’exigence de paiement en Bitcoin à Monero, une crypto-monnaie centrée sur la confidentialité.

En tant qu’un des opérateurs de ransomware les plus actifs et les plus agressifs, le gang REvil cible principalement les entreprises, chiffrant leurs fichiers et demandant des frais astronomiques en moyenne d’environ 260 000 $.

PonyFinal

Le 27 mai, l’équipe de sécurité de Microsoft a révélé dans une série de tweets des informations concernant un nouveau ransomware appelé «Pony Final», qui utilise la force brute pour accéder à son infrastructure réseau cible pour déployer le ransomware.

Contrairement à la plupart des logiciels malveillants qui utilisent des liens de phishing et des e-mails pour inciter l’utilisateur à lancer la charge utile, PonyFinal est distribué à l’aide d’une combinaison d’un environnement d’exécution Java et de fichiers MSI qui fournissent des logiciels malveillants avec un chargeur utile activé manuellement par l’attaquant. Comme Ryuk, PonyFinal est principalement utilisé pour attaquer les établissements de santé au milieu de la crise COVID-19.

Paiements en baisse

Malgré l’augmentation globale du nombre de cyberattaques, les experts estiment qu’il y a une diminution du nombre d’attaques réussies, car pour la plupart des entreprises, les attaques de ransomwares au milieu d’une pandémie mondiale se révèlent être un coup de grâce, les empêchant de payer la rançon.

Cela est évident dans un rapport publié par le laboratoire de logiciels malveillants Emsisoft le 21 avril, révélant une baisse significative du nombre d’attaques de ransomwares réussies aux États-Unis. aux États-Unis et en Europe.

Il semble donc qu’en dépit du nombre croissant d’attaques, les victimes ne paient pas les rançons, ne laissant aux groupes criminels comme REvil aucune autre option que de vendre aux enchères les données volées. Il est également probable qu’un appel pour que les employés travaillent à domicile a paradoxalement posé un nouveau défi pour les pirates. Lors de son entretien avec Crypto, l’analyste des menaces d’Emsisoft, Brett Callow, a déclaré:

« Il est très évident pour les attaquants de ransomwares qu’ils ont une cible potentiellement précieuse lorsqu’ils atteignent un point de terminaison d’entreprise. Il peut cependant être moins évident lorsqu’ils frappent un appareil personnel qu’un employé utilise lorsqu’il travaille à distance et qui n’est connecté aux ressources de l’entreprise que de manière intermittente. »

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *