RansomEXX, un ransomware qui affecte également Linux

Darkcrizt

Minutes 4

La société de sécurité Kaspersky a récemment dévoilé, qu'il a découvert une variante Linux du ransomware RansomEXX, marquant la première fois qu'une souche majeure de ransomware Windows a migré vers Linux pour aider à lutter contre les intrusions ciblées.

Auparavant, ce ransomware était signalé a été utilisé dans des attaques contre le ministère des Transports du Texas, Konica Minolta, l'entrepreneur du gouvernement américain Tyler Technologies, le système de transit de Montréal et, plus récemment, contre le système judiciaire brésilien (STJ).

RançonEXX vous faites partie de ceux qui entreprennent de grands objectifs à la recherche de gros gains, sachant que certaines entreprises ou agences gouvernementales ne peuvent pas se permettre de rester inactives pendant qu'elles récupèrent leurs systèmes.

À la fin de 2019, le FBI a publié une annonce de service public sur les ransomwares pour informer le public du nombre croissant d'attaques contre des entreprises et des organisations aux États-Unis.

«Les attaques de ransomwares sont de plus en plus sélectives, sophistiquées et coûteuses, même si la fréquence globale des attaques reste constante. Depuis le début de 2018, l'incidence des campagnes de ransomwares aveugles et à grande échelle a considérablement diminué, mais les pertes dues aux attaques de ransomwares ont considérablement augmenté, selon les plaintes reçues par IC3 [Internet Crime Complaint Center] et les informations sur les cas du FBI ".

Le FBI a observé que les pirates utilisent les techniques suivantes pour infecter les victimes avec un ransomware:

  • Campagnes d'hameçonnage par e-mail: l'attaquant envoie un e-mail contenant un fichier ou un lien malveillant, qui déploie un logiciel malveillant lorsque le destinataire clique dessus.
    Les pirates informatiques ont traditionnellement utilisé des stratégies de spam génériques et générales pour mettre en œuvre leurs programmes malveillants, tandis que les récentes campagnes de ransomware ont été plus spécifiques.
    Les criminels peuvent également compromettre le compte de messagerie d'une victime en utilisant un logiciel malveillant précurseur, qui permet au cybercriminel d'utiliser le compte de messagerie de la victime pour propager davantage l'infection.
  • Vulnérabilités du protocole de bureau à distance: RDP est un protocole réseau propriétaire qui permet aux utilisateurs de contrôler les ressources et les données d'un ordinateur sur Internet.
    Les pirates ont utilisé les deux méthodes de force brute, une technique basée sur des preuves, pour obtenir les informations d'identification des utilisateurs.
    Ils ont également utilisé des informations d'identification achetées sur des marchés darknet pour obtenir un accès RDP non autorisé aux systèmes victimes. Une fois qu'ils ont accès à RDP, les criminels peuvent déployer une variété de logiciels malveillants, y compris des ransomwares, sur les systèmes victimes.
  • Vulnérabilités logicielles: Les pirates informatiques peuvent exploiter les faiblesses de sécurité des programmes logiciels largement utilisés pour prendre le contrôle des systèmes victimes et mettre en œuvre des ransomwares. Par exemple, des pirates ont récemment exploité des vulnérabilités dans deux outils d'administration à distance utilisés par les fournisseurs de services gérés (MSP) pour déployer des ransomwares sur les réseaux clients d'au moins trois MSP.

Frappe de foule, une entreprise de technologie de cybersécurité, a constaté qu'il y avait eu une augmentation significative des attaques de ransomwares visant le «gros gibier».

Puisqu'ils savent que leurs victimes sont sensibles aux temps d'arrêt, ils seront plus susceptibles de payer une rançon quel que soit le coût de cette rançon. Certaines cibles probables comprennent:

Les soins de santé
Entreprises de l'industrie manufacturière
Services gérés
Agences gouvernementales

Au cours de l'année écoulée, il y a eu un changement de paradigme dans le mode de fonctionnement de ces opérateurs. Plusieurs d'entre eux ils ont réalisé qu'attaquer d'abord les ordinateurs de bureau n'est pas une activité lucrativecar les entreprises ont tendance à utiliser des images de sauvegarde des systèmes affectés pour éviter de payer la rançon.

Au cours des derniers mois, dans de nombreux incidents, certains opérateurs de ransomware ils n'ont pas pris la peine de crypter les postes de travail y ont principalement ciblé les serveurs critiques au sein du réseau d'une entreprise, sachant qu'en attaquant d'abord ces systèmes, les entreprises ne pourraient pas accéder à leurs données.

Le fait que Les opérateurs RansomEXX créent une version pour Linux Le ransomware Windows s'inscrit dans cette ligne de pensée, car de nombreuses entreprises peuvent avoir des systèmes internes sous Linux et pas toujours sous Windows Server.

source: https://securelist.com


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.