Consultant chef de projet IT
Le consultant rédige les documents fonctionnels et fait du support applicatif
Les principales activités de ransomware concernent dernièrement les applications malveillantes SoDinokibi / Revil et GandCrab. Europol a annoncé de nouvelles arrestations lors de son opération Golddust. Les suspects sont fortement impliqués dans les prises en otage de données, ce qu'on appelle les ransomwares ou rançongiciels. Les suspects sont responsables de 5000 infections, qui représentaient environ un demi-million d'euros dans les paiements de rançon.
Deux individus soupçonnés de déployer le cryptobloqueur SoDinokibi / Revil ont été arrêtés par les autorités roumaines, tandis qu'une autre personne a été arrêtée au Koweït. Depuis février 2021 on compte maintenant sept arrestations liées aux ransomwares SoDinokibi / Revil et GandCrab.
Plusieurs applications malveillantes de type ransomware ou rançongiciel ont défrayées la chronique dernièrement. L'objectif de cet article est de faire un point de situation sur le sujet.
Le ransomware connu sous le nom de SoDinokibi est apparu en avril 2019 et a révélé des similitudes dans son code avec un autre ransomware, GandCrab. Il est fort probable qu'il soit programmé par les mêmes développeurs. SoDinokibi a été l'une des menaces de ransomware les plus notoires en 2021. Cela fonctionne dans un modèle de Ransomware-AS-Service (RAAS), où la principale organisation criminelle (généralement appelée Revil) fournit le code de logiciels malveillants et les mises à jour des affiliés qui l'ont diffusée et ont géré les infections. Une fois qu'une rançon est payée, les bénéfices sont partagés entre les affiliés et les cybercriminels de Revil.
En 2020, le groupe de cybercriminels est devenu célèbre en lançant plusieurs attaques ciblant des sociétés de haut niveau aux Etats-Unis, par exemple l'entreprise de transfert d'argent Travelex, la société Honda, la marque Jack Daniels etc.
Pour lutter contre les attaques de type SoDinokibi / Revil, des pays comme la France, l'Allemagne et la Roumanie coordonnent leurs efforts depuis 2019. Les organisations Europol et Eurojust ont construit une équipe commune d'enquête sur ce ransomware en mai 2021. On se souvient aussi que la société Bitdefender a mis à disposition un outil de déchiffrement (decryption tool) permettant de récupérer des fichiers cryptés avant le 20 juillet 2021 (pour les fichiers cryptés récemment l'outil ne fonctionne pas).
Un même effort sur les outils de déchiffrement avaient été fait antérieurement, lors d'une enquête diligentée par la Roumanie et impliquant plusieurs autres pays. Cela concernait l'application malveillante GandCrab.
Cette fois avec l'opération Golddust la coordination entre pays est encore plus large puisqu'elle implique 19 autorités anti-cybercriminalité dans 17 pays: Australie, Belgique, Canada, France, Allemagne, Pays-Bas, Luxembourg, Norvège, Philippines, Pologne, Roumanie, Corée du Sud, Suède, Suisse, Koweït, Royaume-Uni et États-Unis.
La croissance massive des activités de ransomware au cours des dernières années en a fait une priorité absolue pour les autorités dans le monde entier. Le ministère américain de la Justice aux États-Unis a placé les enquêtes sur les attaques de ransomware au même niveau de priorité que le terrorisme. En 2020 une société spécialisée dans l'analyse des transferts de cryptomonnaies a déclaré que le montant total payé par les victimes de ransomware ou rançongiciel a augmenté de 311% pour atteindre près de 350 millions de dollars en cryptomonnaies.
En février 2021, la police nationale sud-coréenne a annoncé l'arrestation d'un informaticien âgé de 20 ans soupçonné d'être un affilié du réseau de ransomware GandCrab. C'est le cas aussi d'un autre affilié GandCrab, un homme de 31 ans arrêté en juillet 2020 en Biélorussie. En octobre 2021 douze personnes soupçonnées d'être impliquées dans des activités de ransomware de type Lockeringa, Megacortex et Dharma Ransomware ont été arrêtées dans un effort commun de huit pays.
Alors que Europol a annoncé son succès avec l'opération Golddust, le ministère de la Justice des États-Unis a révélé des accusations contre Yaroslav Vasinskyi, âgé de 22 ans arrêté en Ukraine le mois dernier et Yevgeniy Polyanin, un ressortissant russe de 28 ans. Les deux sont soupçonnés de mener des attaques de SoDinokibi / Revil contre plusieurs victimes.
Il est évident que les récents arrestations provoquent d'énormes vagues dans le monde de la cyber criminalité, où les individus pensaient éviter d'être pris comme de vulgaires mangeur de cigogne en se faisant payer en cryptomonnaies sur le Dark Web.
Dernier point: le vecteur d'attaque le plus courant utilisé par SoDinokibi / Revil est via des sessions RDP ainsi que par email (phishing et exploitation de vulnérabilité logicielle / matérielle). Au fond être un cybercriminel demande autant d'efforts qu'être un honnête professionnel de l'informatique. 😳 Vous avez dépassé le stade de vous demander si le haricot vert est un légume ou un féculent? Alors n'hésitez pas à me poser des questions sur comment rédiger une lettre de motivation de consultant fonctionnel ERP car cela m'intéresse. Je dis tout ceci en dépit du fait que (subjonctif ou indicatif) je n'ai été confronté qu'une unique fois à un cryptoblocage.
Outre l'email, mobile, téléphone, Telegram, réseaux sociaux, je vous invite à me retrouver également sur Skype. Très utile, installé sur mon mobile, je reçois instantanément vos messages. Vous n'aurez pas à patienter pour être ajouté. Mon identifiant: michelcampillo.
Aix en Provence, le 13 novembre 2021
Michel Campillo
Consultant chef de projet IT
☎ 06 89 56 58 18
✉ contact par email
➽ Les articles d'actualité sont repris chronologiquement sur la page d'accueil du blog. Vous pouvez aussi consulter Méthode de l'Inbox Zéro pour gérer ses emails, Accès au portail Zimbra de Pierre-Bénite, ChatGPT peut désormais vous parler, Le groupe de hackers RansomedVC a piraté Sony, MalasLocker, un cryptobloqueur qui s'attaque aux serveurs Zimbra, La « grève » des modérateurs de Reddit, GFI devient Inetum, Viva Technology 2023, visiter le salon tech de Paris, Quelles sont les limites de stockage pour Google Drive?, Avoir l'IP de quelqu'un avec un lien, Redémarrer un blog après une pause. J'aime cet article et vous invite à le lire: « Boire 2 cafés par jour n'est pas une bonne idée ».
Ce billet vous a intéressé? Alors partagez-le en cliquant sur les boutons ci-dessous:
IP du visiteur: 3.137.176.213
Serveur ec2-3-137-176-213.us-east-2.compute.amazonaws.com
Navigateur Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; ClaudeBot/1.0; +claudebot@anthropic.com)
🎯 Autres options: Mentions légales, La comptabilisation du compte prorata, Dernière heure: l'actualité du BTP, La grille de salaires BTP en 2024, Délais de paiement, le BTP est exemplaire, La révolution de l'IA dans le BTP, Elections américaines : quels sondages pour Harris et Trump ?, Redémarrer un blog après une pause, Tell Me Lies, le film de Peter Brook, le village des Pennes-Mirabeau, Logiciel de gestion de projet, comment s'y retrouver?, Encore la conversion vidéo.
⛅ L'automne est arrivé, un temps propice au travail non? ☂️
Copyright © 2004-2024 Michel Campillo, tous droits réservés