Planète Warez

En bref :

– Ce ransomware génère ses propres scripts malveillants en temps réel

– Il fonctionne 100% hors ligne sans serveur de commande

– L’adresse Bitcoin pointe vers le portefeuille de Satoshi Nakamoto

Je pense qu’on n’est pas encore vraiment prêt pour ces conneries… De quelles conneries je parle ? Et bien par exemple d’un ransomware qui réfléchit, qui s’adapte, et qui génère même ses propres attaques en temps réel ! Oui, Terminator mais sans muscles, et ce n’est plus de la science-fiction, c’est maintenant une réalité.

ESET Research vient en effet de découvrir PromptLock , le tout premier ransomware alimenté par l’intelligence artificielle et ce qui le rend vraiment unique, c’est qu’il ne suit pas de script prédéfini. Non, non, au lieu de ça, il utilise le modèle gpt-oss-20b d’OpenAI, installé localement sur la machine infectée via l’API Ollama. Du coup, ça permet au ransomware de génèrer ses propres scripts Lua malveillants à la volée, en fonction de ce qu’il trouve sur votre système. Chaque attaque devient ainsi potentiellement unique, ce qui rend la détection par signatures quasi impossible.

La beauté diabolique du truc, c’est que tout fonctionne en local. Donc pas besoin de connexion internet constante, pas de communications suspectes vers des serveurs de commande et contrôle. Le modèle d’IA tourne directement sur votre machine. Cette approche permet ainsi au ransomware d’éviter les détections heuristiques traditionnelles et le tracking d’API.

Les chercheurs d’ESET ont trouvé les artefacts de PromptLock sur VirusTotal le 25 août dernier. Ce ransomware est écrit en Golang et existe pour le moment en versions Windows et Linux et d’après l’analyse du trafic réseau, il envoie des requêtes POST vers un endpoint Ollama local (172.42.0.253:8443). L’adresse Bitcoin présente dans les prompts découverts appartiendrait à Satoshi Nakamoto lui-même. L’enfoiré, je savais qu’il était toujours dans le coin !!! Ouais, non, c’est surtout un gros clin d’œil des développeurs de cette saloperie.

Ce qui inquiète réellement les experts, c’est la simplicité avec laquelle ce ransomware peut être déployé. Plus besoin d’être un expert du mal (et du code) pour lancer une attaque sophistiquée.

Le ransomware utilise l’algorithme de chiffrement SPECK 128-bit et peut potentiellement exfiltrer vos données, les chiffrer, ou même les détruire. Heureusement, cette dernière fonctionnalité ne semble pas encore implémentée. Les scripts Lua générés sont compatibles cross-platform et fonctionnent sur Windows, Linux et macOS. Bref, une vraie plaie universelle.

Pour l’instant, PromptLock semble donc être plutôt un proof of concept plutôt qu’une menace active mais si un simple PoC peut déjà faire ça, imaginez ce que des cybercriminels motivés pourraient développer avec les mêmes techniques.

On s’attend tous à voir dans les années à venir de plus en plus de malwares autonomes capables d’apprendre et de s’adapter en temps réel. Cela veut dire que les défenses devront elles aussi intégrer l’IA pour suivre le rythme. C’est une nouvelle course aux armements technologiques qui s’annonce, avec évidemment nos données personnelles et les données des entreprises comme champ de bataille.

Donc comme d’hab, la meilleure défense c’est la prudence. Ne téléchargez que des fichiers de sources fiables maintenez vos systèmes à jour, et faites des backups 3-2-1-1-0

Bon courage les amis !

– Sources : PCgamer

https://korben.info/promptlock-devient-complice-ransomwares-change-regles.html

@Didier a dit dans [Dossier] Conti : Le gang de ransomware russe qui a mis le Costa Rica en état d'urgence et volé 180 millions de dollars :

Hallucinant…!!

Et oui 0 limites 😅

NotLockBit est un ransomware ciblant macOS, particulièrement les Mac avec processeurs Intel, mais aussi compatibles avec Apple Silicon via Rosetta. Après reconnaissance du système, il chiffre les fichiers, les renomme en *.abcd et exige une rançon via une note déposée localement. Des fonctions avancées comme l’exfiltration de données et le contournement des protections macOS montrent une évolution rapide du malware.

https://www.clubic.com/actualite-547394-notlockbit-un-nouveau-ransomware-inquietant-cible-macos-comment-vous-proteger.html

Qui la tester ? Ça ralenti pas trop le système ?

@Ashura dans un monde parfait, ça rapporterait 10 ans de bagne. :ahah:

Un nouveau gang de ransomware surnommé SEXi est parvenu à compromettre l’infrastructure du fournisseur de services chilien IXMetro Powerhost ! Lors de cette attaque, les pirates ont chiffré des serveurs VMware ESXi ainsi que des sauvegardes ! Faisons le point.

PowerHost est un fournisseur de services spécialisés dans les centres de données et l’hébergement, implanté en Amérique du Sud, notamment avec sa division IXMetro présente au Chili, aux États-Unis, et en Europe.

Samedi 30 mars 2024, tôt en début de journée, IXMetro a subi une cyberattaque lors de laquelle les pirates sont parvenus à chiffrer plusieurs serveurs VMware ESXi notamment utilisés pour héberger des serveurs privés virtuels de clients (VPS). De ce fait, les services hébergés sont inaccessibles.

Les équipes d’IXMetro cherchent à restaurer les données de leurs serveurs et de leurs clients à partir de précédentes sauvegardes, mais la tâche ne s’annonce pas simple : les sauvegardes sont également chiffrées. Ricardo Rubem, le CEO de PowerHost, affirme qu’il a essayé de négocier avec les cybercriminels, car il a envisagé de payer la rançon : “J’ai négocié avec le pirate, qui a exigé un montant exorbitant de bitcoins par client : 2 BTC pour chacun, soit environ 140 millions de dollars.”, précise-t-il.

Le ransomware SEXi

Le gang de ransomware SEXi serait une menace relativement récente et cette attaque serait son premier “gros coup” !

, lorsque des fichiers sont chiffrés par ce ransomware, l’extension “.SEXi” est utilisée, et ceux-ci sont accompagnés par une note de rançon nommée “SEXi.txt”.

D’après le site BleepingComputer, ce gang mène des attaques depuis mars 2023, mais cela reste à confirmer. Ce qui est certain, c’est que les cybercriminels du groupe SEXi cible seulement les hyperviseurs VMware ESXi, ce qui en fait une menace supplémentaire pour les infrastructures de virtualisation basées sur la solution VMware by Broadcom.

Pour le moment, nous ignorons si ce gang de ransomware applique le principe de la double extorsion, car à l’heure actuelle, ce gang ne semble pas avoir de site dédié aux fuites de données.

– Source :

https://www.it-connect.fr/les-serveurs-vmware-esxi-un-hebergeur-chiffres-par-le-nouveau-ransomware-sexi/

Ah ben je pense qu’avec un mec manipulant très bien les IA disponibles … y’a moyen de pondre un truc chaud patate …

jusqu’où s’arrêteront-ils ???

Yep @Raccoon ce sont les nouvelles guerres. S’attaquer aux infrastructures d’un pays, comme Stuxnet en son temps qui doit être toujours dormant je ne sais ou quelque part.

Ba au delà de l’exploit, de faire chier le monde, de l’intelligence et la complexité mis en oeuvre, le but est quand même de se faire du pognon. Ils ne bossent pas pour rien à ce stade 😈😆

L’office de contrôle des avoirs étrangers (OFAC - Office of Foreign Assets Control) du Département du Trésor américain a sanctionné la ressortissante russe Ekaterina Zhdanova pour avoir blanchi des millions de dollars en cryptomonnaie pour le compte de diverses personnes, notamment des acteurs de ransomwares.

Zhdanova a utilisé son expertise dans les réseaux de crypto-monnaie et de blockchain pour transférer de l’argent via diverses plateformes telles que Garantex (sanctionné en avril 2022 pour avoir aidé le marché Hydra) afin d’échapper aux contrôles de « lutte contre le blanchiment d’argent et le financement du terrorisme » (AML/CFT).

Un rapport de la société d’analyse blockchain Chainalisys a fourni des informations supplémentaires sur les entreprises publiques de Zhdanova, qui peuvent ou non faire partie de ses stratagèmes complexes de blanchiment d’argent.

L’OFAC et Chainalysis notent que Zhdanova a également exploité ses connexions avec un vaste réseau mondial d’autres blanchisseurs d’argent pour masquer davantage ses activités financières et accéder à une clientèle plus traditionnelle.

– Activité de transfert d’argent de Zhdanova (Chainalysis)

Aider l’affilié du ransomware Ryuk

Zhdanova aurait également blanchi plus de 2 300 000 $ de rançons présumées versées à une filiale de l’opération de ransomware Ryuk.

Le gang Ryuk a été actif entre 2018 et 2021 et s’est répandu en attaquant des organisations dans tous les secteurs, y compris les soins de santé pendant la pandémie, et en extorquant aux victimes le montant le plus élevé possible.

– Processus de blanchiment de rançon (Chainalysis)

Le système utilisé par Zhdanova pour dissimuler l’origine illégale de l’argent de la filiale Ryuk impliquait l’ouverture frauduleuse d’un compte d’investissement et la réalisation d’achats immobiliers.

Il est intéressant de noter qu’un autre citoyen russe qui a blanchi de l’argent pour le gang du ransomware Ryuk pendant trois ans a été extradé des Pays-Bas et a récemment plaidé coupable aux États-Unis.

Outre les ransomwares, Zhdanova a également aidé les oligarques russes à échapper aux sanctions imposées par le monde occidental en réponse à l’invasion de l’Ukraine par la Russie.

Dans un cas, elle a facilité le transfert de plus de 100 millions de dollars au nom d’un oligarque russe vers les Émirats arabes unis. Les autorités ont également confirmé plusieurs cas dans lesquels elle a fait en sorte que des clients russes obtiennent la résidence fiscale, des cartes d’identité et des comptes bancaires aux Émirats arabes unis.

À la suite des sanctions de l’OFAC, Ekaterina Zhdanova verra tous ses avoirs basés aux États-Unis gelés, tandis qu’il sera interdit aux personnes et entités américaines d’effectuer des transactions avec elle.

– Source

https://www.bleepingcomputer.com/news/security/us-sanctions-russian-who-laundered-money-for-ryuk-ransomware-affiliate/

Entre les avions et les ports maritimes les hackeurs ne chôment pas en ce moment.

C’est moche, si ça arrive à un gros cloud va risque de faire mal, mais bon généralement ils ont une meilleure sécurité et des backup de backup

@duJambon a dit dans Ransomware : juillet, le mois de tous les records :

Ils résident sur WS_FTP Server , une application de partage de fichiers créée par Progress Software.

En même temps quel DSI digne de ce nom, ou même n’importe quel responsable informatique, est assez inconscient pour encore utiliser du FTP en entreprise ? Un protocole qui laisse passer les mots de passe en clair autant ne pas mettre de mot de passe, ça revient au même.

Oui en effet très vicieux @Ashura

@Violence a dit dans Dark Power : un nouvel acteur de la menace (ransomware) :

Il utilise un ransomware qui a pour originalité qu’il génère une clé de décryptage unique à chaque attaque, ce qui rend particulièrement difficile la création d’une règle de détection générique.

ça aussi c’est assez vicieux 😉

Le groupe criminel Hive, accusé d’avoir collecté plus de 100 millions de dollars de rançon au total, a été démantelé ont annoncé les autorités américaines et allemandes ce jeudi.

Les autorités américaines et allemandes ont annoncé jeudi le démantèlement d’un des principaux réseaux d’attaques au rançongiciel au monde, baptisé “Hive”, accusé d’avoir pris pour cible quelque 1500 entités dans 80 pays.

Les serveurs du groupe ont été saisis et la police fédérale a pris le contrôle de son site sur le “darkweb”, la partie d’internet non référencée par les navigateurs classiques, a-t-il précisé.

L’opération a été menée en coordination avec les forces de police allemande et néerlandaise, ainsi qu’Europol, a ajouté le directeur de la police fédérale américaine (FBI) Christopher Wray.

Détecté pour la première fois en juin 2021, le groupe criminel Hive est accusé d’avoir collecté plus de 100 millions de dollars de rançon. Après s’être infiltrés dans un système informatique, les pirates au rançongiciel cryptent les données des entreprises et exigent un paiement pour les débloquer. Selon des firmes spécialisés en cybersécurité, le rançongiciel de Hive, ou “ransomware” en anglais, a été déployé contre des hôpitaux américains, la chaîne allemande de magasins d’électronique Telemarkt ou encore le géant indien Tata.

En juin, le FBI avait réussi à pénétrer dans les réseaux de Hive et avait récupéré sa clé de chiffrement, qu’elle a offerte aux victimes dans le monde entier les mois suivants, leur permettant d’éviter de payer 130 millions de dollars de rançons, a précisé Christopher Wray.

La police fédérale avait également distribué des copies de cette clé aux anciennes victimes de Hive pour qu’elles récupèrent intégralement leurs données. “Malheureusement, au cours de ces sept mois, nous avons découvert que seules 20% des victimes de Hive avaient alerté la police”, a déploré le chef du FBI en appelant toutes les entreprises et entités à contacter au plus vite ses agents en cas d’attaque.

Le parquet de Stuttgart, en Allemagne, a précisé dans un communiqué que l’opération, baptisée “Dawnbreaker”, trouvait sa source dans une enquête ouverte par ses services après des attaques contre des entreprises de la région. Celles-ci n’ont toutefois “pas cédé au chantage et ont informé les autorités”, a-t-il ajouté.

“Une fois de plus, il s’est avéré qu’une coopération intense et mutuelle de confiance par-delà les frontières et les continents est la clé d’une lutte efficace contre la grande cybercriminalité”, a déclaré Udo Vogel, le chef de la police de Reutlingen (sud-ouest de l’Allemagne), cité dans le communiqué.

“On a hacké les hackeurs”, a pour sa part déclaré la numéro 2 du ministère américain de la Justice, Lisa Monaco. “Pendant des mois, on a aidé les victimes à lutter contre leurs agresseurs et on a privé le réseau de ses profits criminels”, a-t-elle déclaré.

Source: https://actu17.fr/international/hive-un-des-principaux-reseaux-dattaques-au-rancongiciel-au-monde-a-ete-demantele.html

Mimecast (solution de cybersécurité cloud opérant pour les mails, les données et le web) dévoile son étude sur le coût total des ransomwares et leurs impacts sur les responsables informatiques en France.

87% des répondants déclarent que le nombre de cyberattaques contre leur entreprise a augmenté depuis l’année dernière ou est resté le même 40% de responsables informatiques estiment que les attaques par ransomware ont un impact négatif sur leur santé mentale. 51% des attaques subies engendrent plus de 100k$ de frais

Au cours de l’année écoulée, 31 % des entreprises ont subi plus de trois attaques par ransomware et 53% des attaques étaient par le biais du phishing comprenant une pièce jointe vérolée.

Néanmoins, les entreprises françaises restent optimistes et ils sont 20% à penser qu’il leur faudrait moins de 24h pour se remettre d’une cyberattaque quand 27% estiment cette durée à 2 jours. En parallèle à ça, on constate toujours un manque de compétences et de moyens dans les entreprises puisque 40% des répondants déclarent ne pas pouvoir recruter le personnel essentiel dont ils ont besoin dans leur équipe pour garder l’entreprise sécurisée.

16% des entreprises dépensent déjà plus de 850 000$ par an pour assurer leur cybersécurité.

Et alors même que les entreprises commencent à prendre conscience qu’il faut allouer un véritable budget pour prévenir les attaques par ransomware et y faire face, il est également important de se concentrer sur l’impact qu’ils peuvent avoir sur les responsables informatiques (comment ça va @Violence ?). Ainsi, on apprend que 64% des répondants sont préoccupés par l’impact et les dégâts que peuvent avoir les attaques par ransomware sur les vies humaines.

Les ransomware, ainsi que toutes les formes de cybercriminalité, ne resteront pas inactifs dans les années à venir et Il est essentiel que les équipes de cybersécurité puissent faire le meilleur usage de leurs ressources afin de réduire le coût total des attaques pour les entreprises et les particuliers, tout en veillant à ce que la cybersécurité soit une carrière durable et épanouissante.

Source: https://www.undernews.fr/malwares-virus-antivirus/etude-mimecast-le-cout-total-des-ransomwares-et-leurs-impacts-sur-les-dsi-en-france.html

Voir aussi: https://planete-warez.net/topic/2356/les-snapshots-dernier-rempart-contre-les-ransomwares?_=1666702788462

@Violence a dit dans Les snapshots, dernier rempart contre les ransomwares ? :

la méthode AGDLP

C’est bien une méthode que peu d’informaticiens connaissent.

1 million, c’est que ca doit bien rapporter

Tu m’étonnes et ça ne va pas s’arranger 😉