Nouveaux cas de ransomware ou de kidnapping de données où ils demandent une rançon avec Bitcoin

Les entreprises ont un ennemi dont il faut se méfier aujourd'hui : les cybercriminels. Quel que soit le secteur dans lequel il se concentre, tant qu'il y a des données impliquées, les criminels trouveront un moyen de les voler et d'exiger une rançon pour cela.

Ces types de pratiques sont menées par le biais de ransomwares ou de détournements de données, profitant d'une vulnérabilité du système de l'entreprise pour prendre le contrôle de l'information, puis informer les responsables de l'attaque afin qu'ils livrent de l'argent et restituent les données.

Fortinet a mené une enquête et a trouvé deux modalités récentes de ce type d'attaque, qui se concentraient sur des victimes hispanophones, affectaient des ordinateurs avec le système d'exploitation Windows et qualifiaient la situation de "haute" gravité.

Cela peut vous intéresser :

C'était les attaques de ransomware

Le premier cas s'est produit avec une variante appelée Inlock, qui est un "ransomware typique qui crypte les fichiers sur une machine compromise" et demande ensuite de l'argent pour sa récupération.

Les documents volés ont été étiquetés avec l'extension de fichier ".inlock" et les attaquants ont laissé une note de rançon en espagnol.

"Votre ordinateur a été crypté. Nous sommes vraiment désolés, mais vous avez été la cible d'une cyberattaque. Toutes vos données personnelles ont été cryptées. Contactez-moi pour négocier la rançon. Une fois le paiement arrivé, je vous enverrai l'outil en charge de décrypter tous les fichiers », disait une partie du texte laissé par les malfaiteurs sur l'ordinateur.

En plus de cela, ils ont changé l'image de fond de l'écran de l'ordinateur, pour celle d'un signe Bitcoin , où des rançons sont généralement demandées, bien que les chercheurs n'aient pas trouvé les coordonnées des victimes pour effectuer le paiement au criminel, ce qui rend les données récupération difficile.

Le deuxième cas a été fait avec la variante Xorist, qui fonctionne depuis cinq ans, bien que certains rapports affirment qu'elle pourrait être plus et avoir près d'une décennie.

Pour cette attaque, une campagne de phishing a été utilisée, qui ciblerait les utilisateurs à Cuba . Le fichier exécutable du ransomware s'appelle "Ley del Presidente y Vicepresidente de la República de Cuba.pdf.exe", qui était accompagné d'un fichier PDF appelé "Loi du président et du vice-président de la République de Cuba.pdf".

Cela peut vous intéresser :

Cet ensemble cherche à faire croire aux victimes qu'elles ont ouvert un fichier légitime émis par le gouvernement cubain, mais en réalité c'est un rançongiciel qui vole des données, change le fond d'écran avec un code QR, ce qui mène au portefeuille Bitcoin du cybercriminel.

Les recommandations émises par la société de cybersécurité pour éviter ce type de situation sont « d'apporter des modifications fondamentales à la fréquence, à l'emplacement et à la sécurité de vos sauvegardes de données », ajoutant à cela d'autres considérations plus techniques telles que « des solutions de sécurité basées sur le cloud, une sécurité endpopint avancée et les stratégies de segmentation du réseau, et Zero Trust Access qui restreignent l'accès aux applications et aux ressources en fonction de la politique et du contexte.

En outre, ils précisent qu'aucune entreprise ou organisation ne doit payer de rançon pour les données, car cela ne garantit pas le retour des informations et encourage les cybercriminels à poursuivre cette activité.

Continuer à lire: