Les équipes de sécurité d'entreprise peuvent ajouter trois autres variantes de ransomware à la liste sans cesse croissante des menaces de ransomware qu'elles doivent surveiller.
Les trois variantes - Vohuk, ScareCrow et AESRT - comme la plupart des outils de ransomware, ciblent les systèmes Windows et semblent proliférer relativement rapidement sur les systèmes appartenant à des utilisateurs dans plusieurs pays. Les chercheurs en sécurité des laboratoires FortiGuard de Fortinet qui suivent les menaces cette semaine ont décrit les échantillons de ransomwares comme gagnant du terrain dans la base de données de ransomwares de l'entreprise.
L'analyse de Fortinet des trois menaces ont montré qu'il s'agissait d'outils de ransomware standard du type qui ont néanmoins été très efficaces pour chiffrer les données sur les systèmes compromis. L'alerte de Fortinet n'a pas identifié la manière dont les opérateurs des nouveaux échantillons de ransomwares distribuent leurs logiciels malveillants, mais elle a noté que les e-mails de phishing étaient généralement le vecteur le plus courant d'infections par ransomware.
Un nombre croissant de variantes
"Si la croissance des ransomwares en 2022 indique ce que l'avenir nous réserve, les équipes de sécurité du monde entier devraient s'attendre à voir ce vecteur d'attaque devenir encore plus populaire en 2023", déclare Fred Gutierrez, ingénieur senior en sécurité chez Fortinet FortiGuard Labs.
Au cours du premier semestre 2022 seulement, le nombre de nouvelles variantes de ransomware identifiées par FortiGuard Labs a augmenté de près de 100 % par rapport à la période de six mois précédente, dit-il. L'équipe FortiGuard Labs a documenté 10,666 2022 nouvelles variantes de ransomwares au premier semestre 5,400, contre seulement 2021 XNUMX au second semestre XNUMX.
"Cette croissance des nouvelles variantes de ransomware est principalement due au fait que davantage d'attaquants profitent du ransomware-as-a-service (RaaS) sur le Dark Web", dit-il.
Il ajoute : "En outre, l'aspect peut-être le plus inquiétant est que nous constatons une augmentation des attaques de ransomwares plus destructrices à grande échelle et dans pratiquement tous les types de secteurs, ce qui devrait se poursuivre jusqu'en 2023."
Souches de ransomware standard mais efficaces
La variante du rançongiciel Vohuk analysée par les chercheurs de Fortinet semblait en être à sa troisième version, ce qui indique que ses auteurs la développent activement.
Le logiciel malveillant dépose une note de rançon, "README.txt", sur les systèmes compromis qui demande aux victimes de contacter l'attaquant par e-mail avec un identifiant unique, a déclaré Fortinet. La note informe la victime que l'attaquant n'a pas de motivation politique mais qu'il n'est intéressé que par un gain financier - probablement pour rassurer les victimes qu'elles récupéreraient leurs données si elles payaient la rançon demandée.
Pendant ce temps, "ScareCrow est un autre ransomware typique qui crypte les fichiers sur les machines des victimes", a déclaré Fortinet. "Sa note de rançon, également intitulée" readme.txt ", contient trois canaux Telegram que les victimes peuvent utiliser pour parler avec l'attaquant."
Bien que la note de rançon ne contienne aucune demande financière spécifique, il est prudent de supposer que les victimes devront payer une rançon pour récupérer les fichiers qui ont été cryptés, a déclaré Fortinet.
Les recherches du fournisseur de sécurité ont également montré un certain chevauchement entre ScareCrow et le tristement célèbre Variante du rançongiciel Conti, l'un des outils de ransomware les plus prolifiques jamais créés. Les deux, par exemple, utilisent le même algorithme pour chiffrer les fichiers, et tout comme Conti, ScareCrow supprime les clichés instantanés à l'aide de l'utilitaire de ligne de commande WMI (wmic) pour rendre les données irrécupérables sur les systèmes infectés.
Les soumissions à VirusTotal suggèrent que ScareCrow a infecté des systèmes aux États-Unis, en Allemagne, en Italie, en Inde, aux Philippines et en Russie.
Et enfin, AESRT, la troisième nouvelle famille de rançongiciels que Fortinet a récemment repérée dans la nature, possède des fonctionnalités similaires aux deux autres menaces. La principale différence est qu'au lieu de laisser une note de rançon, le logiciel malveillant affiche une fenêtre contextuelle avec l'adresse e-mail de l'attaquant et un champ qui affiche une clé pour décrypter les fichiers cryptés une fois que la victime a payé la rançon demandée.
Crypto-Collapse ralentira-t-il la menace des ransomwares ?
Les nouvelles variantes s'ajoutent à la longue liste - et en constante augmentation - des menaces de ransomwares auxquelles les organisations doivent désormais faire face quotidiennement, car les opérateurs de ransomwares continuent de marteler sans relâche les entreprises.
Les données sur les attaques de rançongiciels que LookingGlass a analysées plus tôt cette année ont montré qu'il y avait 1,133 XNUMX attaques de rançongiciels confirmées dans la seule première moitié de 2022 - dont plus de la moitié (52%) concernaient des entreprises américaines. LookingGlass a découvert que le groupe de ransomwares le plus actif était celui derrière la variante LockBit, suivi des groupes derrière les ransomwares Conti, Black Basta et Alphy.
Cependant, le taux d'activité n'est pas stable. Certains fournisseurs de sécurité ont signalé avoir observé un léger ralentissement de l'activité des ransomwares au cours de certaines parties de l'année.
Dans un rapport de mi-année, SecureWorks, par exemple, a déclaré que ses engagements de réponse aux incidents en mai et juin suggéraient que la vitesse à laquelle les nouvelles attaques de ransomware réussies se produisaient avait un peu ralenti.
SecureWorks a identifié la tendance comme étant probablement liée, au moins en partie, à l'interruption de l'opération Conti RaaS cette année et à d'autres facteurs tels que le effet perturbateur de la guerre en Ukraine sur les gangs de rançongiciels.
Un autre rapport, du Identity Theft Resource Center (ITRC), ont signalé une baisse de 20 % des attaques de rançongiciels qui a entraîné une violation au cours du deuxième trimestre de 2022 par rapport au premier trimestre de l'année. L'ITRC, comme SecureWorks, a identifié le déclin comme étant lié à la guerre en Ukraine et, de manière significative, à l'effondrement des crypto-monnaies que les opérateurs de rançongiciels privilégient pour les paiements.
Bryan Ware, PDG de LookingGlass, dit qu'il pense que le crypto-effondrement pourrait entraver les opérateurs de ransomwares en 2023.
"Le récent scandale FTX a fait exploser les crypto-monnaies, ce qui affecte la monétisation des ransomwares et les rend essentiellement imprévisibles", dit-il. "Cela n'augure rien de bon pour les opérateurs de ransomwares car ils vont devoir envisager d'autres formes de monétisation à long terme."
Ware dit le tendances autour des crypto-monnaies certains groupes de ransomwares envisagent d'utiliser leurs propres crypto-monnaies : "Nous ne sommes pas sûrs que cela se concrétisera, mais dans l'ensemble, les groupes de ransomwares s'inquiètent de la manière dont ils monétiseront et maintiendront un certain niveau d'anonymat à l'avenir."
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
