2024-03-05 19:46:07
Les cybercriminels ont développé une version améliorée du célèbre ransomware GhostLocker qu’ils déploient dans le cadre d’attaques au Moyen-Orient, en Afrique et en Asie.
Deux groupes de ransomwares, GhostSec et Stormous, ont uni leurs forces dans des campagnes d’attaques avec des attaques de ransomwares à double extorsion utilisant le nouveau GhostLocker 2.0 pour infecter également des organisations au Liban, en Israël, en Afrique du Sud, en Turquie, en Égypte, en Inde, au Vietnam et en Thaïlande. comme d’autres endroits.
Les entreprises technologiques, les universités, l’industrie manufacturière, les transports et les organisations gouvernementales subissent le plus gros des attaques, qui tentent d’inciter les victimes à payer les clés de décryptage nécessaires pour déchiffrer les données rendues inaccessibles par le logiciel malveillant de cryptage de fichiers. Les attaquants menacent également de divulguer les données sensibles volées à moins que les victimes ne leur paient de l’argent, selon les chercheurs de Cisco Talos, qui ont découvert la nouvelle campagne de malware et de cyberattaque.
Le programme RaaS offre des options aux attaquants
Les groupes de ransomware GhostLocker et Stormous ont introduit un programme révisé de ransomware-as-a-service (RaaS) appelé STMX_GhostLocker, offrant diverses options à leurs affiliés.
Les groupes GhostSec et Stormous ont annoncé leur vol de données sur leurs chaînes Telegram et sur le site de fuite de données du ransomware Stormous.
Dans un article de blog technique cette semaine, Cisco Talos a déclaré que GhostSec attaque les systèmes industriels, les infrastructures critiques et les entreprises technologiques d’Israël. Les victimes présumées incluent le ministère israélien de la Défense, mais les motivations du groupe semblent être principalement axées sur le profit et non à des fins de sabotage cinétique.
Les discussions sur la chaîne Telegram du groupe suggèrent que le groupe est motivé (au moins en partie) par le désir de collecter des fonds pour les hacktivistes et les acteurs menaçants. Le surnom choisi par le groupe, GhostSec, ressemble à celui du célèbre groupe de hacktivistes Ghost Security Group, une société connue pour cibler les sites Web du groupe pro-État islamique et d’autres cyberattaques, mais aucun lien n’est confirmé.
Le gang Stormous a ajouté le programme ransomware GhostLocker à son programme StormousX existant à la suite d’une opération conjointe réussie contre les ministères cubains en juillet dernier.
Les cyberattaquants se concentrent sur les sites Web des entreprises
GhostSec semble mener des attaques contre des sites Web d’entreprises, notamment un opérateur ferroviaire national indonésien et un fournisseur d’énergie canadien. Cisco Talos rapporte que le groupe pourrait utiliser son outil GhostPresser en conjonction avec des attaques de type cross-site scripting (XSS) contre des sites Web vulnérables.
Les piliers des ransomwares proposent un nouvel ensemble d’outils d’analyse approfondie GhostSec que les attaquants potentiels peuvent utiliser pour analyser les sites Web de leurs cibles potentielles.
L’utilitaire basé sur Python contient des espaces réservés pour exécuter des fonctions spécifiques, notamment la possibilité potentielle de rechercher des vulnérabilités spécifiques (par numéros CVE) sur des sites Web ciblés. La fonctionnalité promise indique « l’évolution continue des outils de GhostSec dans leur arsenal », selon Cisco Talos. Les chercheurs en sécurité rapportent que les développeurs du malware font référence au « travail en cours » sur « GhostLocker v3 » dans leurs discussions.
Message de GhostLocker 2.0
GhostLocker 2.0 crypte les fichiers sur la machine de la victime en utilisant l’extension de fichier .ghost avant de déposer et d’ouvrir une demande de rançon. Les marques potentielles avertissent que les données volées seront divulguées à moins qu’elles ne contactent les opérateurs de ransomware avant l’expiration d’un délai de sept jours.
Les affiliés du ransomware-as-a-service GhostLocker ont accès à un panneau de contrôle qui leur permet de suivre la progression de leurs attaques, qui sont automatiquement enregistrées sur le tableau de bord. Le serveur de commande et de contrôle GhostLocker 2.0 se résout avec une géolocalisation à Moscou, une configuration similaire aux versions antérieures du ransomware.
Les affiliés payants ont accès à un générateur de ransomware qui peut être configuré avec diverses options, y compris le répertoire cible du cryptage. Les développeurs ont configuré le ransomware pour exfiltrer et crypter les fichiers portant les extensions de fichier .doc, .docx, .xls et .xlsx (c’est-à-dire les fichiers de documents et les feuilles de calcul créés par Word).
La dernière version de GhostLocker a été écrite dans le langage de programmation GoLang, contrairement à la version précédente, qui a été développée en Python. La fonctionnalité reste cependant similaire, selon Cisco Talos. Une différence dans la nouvelle version : elle double la longueur de la clé de cryptage de 128 à 256 bits.
#GhostLocker #hante #les #entreprises #MoyenOrient #dAfrique #dAsie
1709666193