De fortes compétences fonctionnelles sont un prérequis pour un consultant ERP

Ransomware ou rançongiciel : une prise en otage de vos données

Ransomware ou rançongiciel : une prise en otage de vos donnéesLes principales activités de ransomware concernent dernièrement les applications malveillantes SoDinokibi / Revil et GandCrab. Europol a annoncé de nouvelles arrestations lors de son opération Golddust. Les suspects sont fortement impliqués dans les prises en otage de données, ce qu'on appelle les ransomwares ou rançongiciels. Les suspects sont responsables de 5000 infections, qui représentaient environ un demi-million d'euros dans les paiements de rançon.

Deux individus soupçonnés de déployer le cryptobloqueur SoDinokibi / Revil ont été arrêtés par les autorités roumaines, tandis qu'une autre personne a été arrêtée au Koweït. Depuis février 2021 on compte maintenant sept arrestations liées aux ransomwares SoDinokibi / Revil et GandCrab.

Ransomware ou rançongiciel : une prise en otage de vos données

Plusieurs applications malveillantes de type ransomware ou rançongiciel ont défrayées la chronique dernièrement. L'objectif de cet article est de faire un point de situation sur le sujet.

🚀 L'application malveillante SoDinokibi et l'organisation criminelle Revil

Le ransomware connu sous le nom de SoDinokibi est apparu en avril 2019 et a révélé des similitudes dans son code avec un autre ransomware, GandCrab. Il est fort probable qu'il soit programmé par les mêmes développeurs. SoDinokibi a été l'une des menaces de ransomware les plus notoires en 2021. Cela fonctionne dans un modèle de Ransomware-AS-Service (RAAS), où la principale organisation criminelle (généralement appelée Revil) fournit le code de logiciels malveillants et les mises à jour des affiliés qui l'ont diffusée et ont géré les infections. Une fois qu'une rançon est payée, les bénéfices sont partagés entre les affiliés et les cybercriminels de Revil.

S'abonner à la lettre de diffusion

En 2020, le groupe de cybercriminels est devenu célèbre en lançant plusieurs attaques ciblant des sociétés de haut niveau aux Etats-Unis, par exemple l'entreprise de transfert d'argent Travelex, la société Honda, la marque Jack Daniels etc.

Pour lutter contre les attaques de type SoDinokibi / Revil, des pays comme la France, l'Allemagne et la Roumanie coordonnent leurs efforts depuis 2019. Les organisations Europol et Eurojust ont construit une équipe commune d'enquête sur ce ransomware en mai 2021. On se souvient aussi que la société Bitdefender a mis à disposition un outil de déchiffrement (decryption tool) permettant de récupérer des fichiers cryptés avant le 20 juillet 2021 (pour les fichiers cryptés récemment l'outil ne fonctionne pas).

Un même effort sur les outils de déchiffrement avaient été fait antérieurement, lors d'une enquête diligentée par la Roumanie et impliquant plusieurs autres pays. Cela concernait l'application malveillante GandCrab.

Cette fois avec l'opération Golddust la coordination entre pays est encore plus large puisqu'elle implique 19 autorités anti-cybercriminalité dans 17 pays: Australie, Belgique, Canada, France, Allemagne, Pays-Bas, Luxembourg, Norvège, Philippines, Pologne, Roumanie, Corée du Sud, Suède, Suisse, Koweït, Royaume-Uni et États-Unis.

🚀 De plus en plus d'arrestations

La croissance massive des activités de ransomware au cours des dernières années en a fait une priorité absolue pour les autorités dans le monde entier. Le ministère américain de la Justice aux États-Unis a placé les enquêtes sur les attaques de ransomware au même niveau de priorité que le terrorisme. En 2020 une société spécialisée dans l'analyse des transferts de cryptomonnaies a déclaré que le montant total payé par les victimes de ransomware ou rançongiciel a augmenté de 311% pour atteindre près de 350 millions de dollars en cryptomonnaies.

En février 2021, la police nationale sud-coréenne a annoncé l'arrestation d'un informaticien âgé de 20 ans soupçonné d'être un affilié du réseau de ransomware GandCrab. C'est le cas aussi d'un autre affilié GandCrab, un homme de 31 ans arrêté en juillet 2020 en Biélorussie. En octobre 2021 douze personnes soupçonnées d'être impliquées dans des activités de ransomware de type Lockeringa, Megacortex et Dharma Ransomware ont été arrêtées dans un effort commun de huit pays.

Alors que Europol a annoncé son succès avec l'opération Golddust, le ministère de la Justice des États-Unis a révélé des accusations contre Yaroslav Vasinskyi, âgé de 22 ans arrêté en Ukraine le mois dernier et Yevgeniy Polyanin, un ressortissant russe de 28 ans. Les deux sont soupçonnés de mener des attaques de SoDinokibi / Revil contre plusieurs victimes.

Il est évident que les récents arrestations provoquent d'énormes vagues dans le monde de la cyber criminalité, où les individus pensaient éviter d'être pris comme de vulgaires mangeur de cigogne en se faisant payer en cryptomonnaies sur le Dark Wek.

Dernier point: le vecteur d'attaque le plus courant utilisé par SoDinokibi / Revil est via des sessions RDP ainsi que par email (phishing et exploitation de vulnérabilité logicielle / matérielle). Au fond être un cybercriminel demande autant d'efforts qu'être un honnête professionnel de l'informatique, spécialiste ERP ou autre. 😳 Vous avez dépassé le stade de vous demander si le haricot vert est un légume ou un féculent? ALors n'hésitez pas à me poser des questions sur Yandex, navigateur web car cela m'intéresse. Je dis tout ceci en dépit du fait que (subjonctif ou indicatif) je n'ai été confronté qu'une unique fois à un cryptoblocage.

SkypeOutre l'email, mobile, téléphone, Telegram, réseaux sociaux, je vous invite à me retrouver également sur Skype. Très utile, installé sur mon mobile, je reçois instantanément vos messages. Vous n'aurez pas à patienter pour être ajouté. Mon identifiant: michelcampillo.

Aix en Provence, le 13 novembre 2021

Michel Campillo

Michel Campillo Michel Campillo, consultant d'entreprise
Logiciels de Gestion
06 89 56 58 18   
contact par email

➽ Les articles d'actualité sont repris chronologiquement sur l'accueil du blog d'actualité. Vous pouvez aussi consulter Ransomware ou rançongiciel : une prise en otage de vos données, Qu'est-ce que le métaverse ?, ActivityPub et le fediverse, La rédaction de contenus web, L'inévitable dépendance aux médias sociaux, Messagerie instantanée XMPP, quel service et quel logiciel ?, SkyDroid: dépôt décentralisé d'applications pour Android, Un Digg-Like français en 2020, possible ?.

Ce billet vous a intéressé? Alors partagez-le en cliquant sur les boutons ci-dessous:

Facebook Twitter Mastodon LinkedIn

Merci de vos partages! Maintenant à vous de commenter. 👷🏻‍

IP du visiteur: 54.165.57.161
Serveur ec2-54-165-57-161.compute-1.amazonaws.com
Navigateur CCBot/2.0 (https://commoncrawl.org/faq/)



🎯 Autres options: Mentions légales, Embaucher un nouveau consultant, Qu'est-ce que Jira ?, Nouveau variant Omicron sud-africain, Comment avoir des abonnés sur Twitter?, Promoteur de projets web, L'offre de service ERP Microsoft, Gestion de projet avec Jira: le principal problème, Ransomware ou rançongiciel, L'outil de suivi de projet Youtrack, ERP, quelle formation en ligne?.
✇ Ce site web est 100% neutre en carbone 🌱 depuis 2004 🌿

Copyright © 2004-2021 Michel Campillo, tous droits réservés

eXTReMe Tracker