Quelques exemples de ransomwares
Phishing / Ransomwares

Quelques exemples de ransomwares

Logiciel informatique malveillant, le ransomware a été conçu pour prendre en otage les données des grandes entreprises, des MSP et de leurs clients. Ces dernières années, le nombre d’attaques subies par les petites entreprises et les fournisseurs informatiques est monté en flèche. La majorité des attaques de ransomware commence toujours par un mail. Quelques précautions sont donc de mise notamment, la formation des personnels à reconnaître les mails de phishing et le renforcement de la sécurité de ceux-ci.

Le ransomware Ryuk

Ryuk a été développé par un groupe de hackers russe, le Wizard strick. L’attaque commence par l’envoi d’un banal mail de phishing qui n’infecte pas l’ordinateur de la victime dans un premier temps. Les hackers recueillent les données que le ransomware a besoin pour fonctionner en se répandant à l’aide d’un réseau. Pour ce faire, ils passent par un kit d’exploit, notamment le Trickbot ou l’Emotet. Une fois que les hackers ont fini leur travail, Ryuk peut alors être déployé sur le système ciblé. Un code est alors injecté dans les processeurs pour paralyser les systèmes stratégiques comme les logiciels et les bases de données antivirus. Ils lancent ensuite le chiffrement et procèdent à la demande de rançon une fois celui-ci terminé.

Le ransomware Maze

Le ransomware Maze est envoyé par les hackers à l’aide du kit d’exploit Fallout. Ce dernier infecte l’ordinateur cible à travers un téléchargement furtif effectué depuis un site web lors d’une campagne de malversiting. Ce kit tire parti de la vulnérabilité des pare-feu de l’ordinateur à travers les Flashs et Internet Explorer en injectant ses fichiers à l’aide de Powershell. Le rôle de celui-ci est de préparer l’ordinateur à l’infection par le ransomware Maze qui, à l’atteinte de sa cible utilise les données que Fallout a recueillies. Les informations collectées pourront ensuite faire l’objet d’une demande de rançon personnalisée.

Le ransomware Sodinokibi

Le ransomware Sodinokibi est envoyé par les cybercriminels à l’aide d’e-mails de phishing, de kits d’exploit ou encore de la vulnérabilité du serveur. Ce ransomware exploite les vulnérabilités d’Oracle WebLogic Server en plus d’être capable de s’exécuter à distance sans avoir besoin d’authentification. Sodinokibi peut être couplé avec un ransomware-as-a-service tel que GandGrab. Celui-ci a l’avantage d’avoir une centaine d’affiliés, même si sa popularité est en baisse à cause de son successeur qui est trop en puissance.

Le ransomware Netwalker

Le ransomware Mailto porte également le nom de Netwalker qui est un outil de déchiffrement. Ce dernier infecte ses hôtes à travers un phishing et une campagne de passeword-spraying. Il imite un logiciel de gestion de mots de passe, s’exécute comme tel et s’empare ainsi des données privées de sa cible.

Le chiffrement débute quand l’utilisateur effectue l’exécution. Une fois celui-ci terminé, l’extension mailto est ainsi ajoutée aux fichiers cibles et la demande de rançon formulée. Le Mailto possède différentes caractéristiques notables, dont la vaste liste blanche que l’on retrouve très fréquemment.

- 6 mai 2020 - 1123 Views