Le consultant rédige les documents fonctionnels et fait du support applicatif

Ransomware ou rançongiciel : une prise en otage de vos données

Ransomware ou rançongiciel : une prise en otage de vos donnéesLes principales activités de ransomware concernent dernièrement les applications malveillantes SoDinokibi / Revil et GandCrab. Europol a annoncé de nouvelles arrestations lors de son opération Golddust. Les suspects sont fortement impliqués dans les prises en otage de données, ce qu'on appelle les ransomwares ou rançongiciels. Les suspects sont responsables de 5000 infections, qui représentaient environ un demi-million d'euros dans les paiements de rançon.

Deux individus soupçonnés de déployer le cryptobloqueur SoDinokibi / Revil ont été arrêtés par les autorités roumaines, tandis qu'une autre personne a été arrêtée au Koweït. Depuis février 2021 on compte maintenant sept arrestations liées aux ransomwares SoDinokibi / Revil et GandCrab.

Ransomware ou rançongiciel : une prise en otage de vos données

Plusieurs applications malveillantes de type ransomware ou rançongiciel ont défrayées la chronique dernièrement. L'objectif de cet article est de faire un point de situation sur le sujet.

🚀 L'application malveillante SoDinokibi et l'organisation criminelle Revil

Le ransomware connu sous le nom de SoDinokibi est apparu en avril 2019 et a révélé des similitudes dans son code avec un autre ransomware, GandCrab. Il est fort probable qu'il soit programmé par les mêmes développeurs. SoDinokibi a été l'une des menaces de ransomware les plus notoires en 2021. Cela fonctionne dans un modèle de Ransomware-AS-Service (RAAS), où la principale organisation criminelle (généralement appelée Revil) fournit le code de logiciels malveillants et les mises à jour des affiliés qui l'ont diffusée et ont géré les infections. Une fois qu'une rançon est payée, les bénéfices sont partagés entre les affiliés et les cybercriminels de Revil.

S'abonner à la lettre de diffusion

En 2020, le groupe de cybercriminels est devenu célèbre en lançant plusieurs attaques ciblant des sociétés de haut niveau aux Etats-Unis, par exemple l'entreprise de transfert d'argent Travelex, la société Honda, la marque Jack Daniels etc.

Pour lutter contre les attaques de type SoDinokibi / Revil, des pays comme la France, l'Allemagne et la Roumanie coordonnent leurs efforts depuis 2019. Les organisations Europol et Eurojust ont construit une équipe commune d'enquête sur ce ransomware en mai 2021. On se souvient aussi que la société Bitdefender a mis à disposition un outil de déchiffrement (decryption tool) permettant de récupérer des fichiers cryptés avant le 20 juillet 2021 (pour les fichiers cryptés récemment l'outil ne fonctionne pas).

Un même effort sur les outils de déchiffrement avaient été fait antérieurement, lors d'une enquête diligentée par la Roumanie et impliquant plusieurs autres pays. Cela concernait l'application malveillante GandCrab.

Cette fois avec l'opération Golddust la coordination entre pays est encore plus large puisqu'elle implique 19 autorités anti-cybercriminalité dans 17 pays: Australie, Belgique, Canada, France, Allemagne, Pays-Bas, Luxembourg, Norvège, Philippines, Pologne, Roumanie, Corée du Sud, Suède, Suisse, Koweït, Royaume-Uni et États-Unis.

🚀 De plus en plus d'arrestations

La croissance massive des activités de ransomware au cours des dernières années en a fait une priorité absolue pour les autorités dans le monde entier. Le ministère américain de la Justice aux États-Unis a placé les enquêtes sur les attaques de ransomware au même niveau de priorité que le terrorisme. En 2020 une société spécialisée dans l'analyse des transferts de cryptomonnaies a déclaré que le montant total payé par les victimes de ransomware ou rançongiciel a augmenté de 311% pour atteindre près de 350 millions de dollars en cryptomonnaies.

Un membre du ministère américain de la Justice aux États-Unis se demande comment faire de plus en plus d'arrestations de cybercriminels

En février 2021, la police nationale sud-coréenne a annoncé l'arrestation d'un informaticien âgé de 20 ans soupçonné d'être un affilié du réseau de ransomware GandCrab. C'est le cas aussi d'un autre affilié GandCrab, un homme de 31 ans arrêté en juillet 2020 en Biélorussie. En octobre 2021 douze personnes soupçonnées d'être impliquées dans des activités de ransomware de type Lockeringa, Megacortex et Dharma Ransomware ont été arrêtées dans un effort commun de huit pays.

Alors que Europol a annoncé son succès avec l'opération Golddust, le ministère de la Justice des États-Unis a révélé des accusations contre Yaroslav Vasinskyi, âgé de 22 ans arrêté en Ukraine le mois dernier et Yevgeniy Polyanin, un ressortissant russe de 28 ans. Les deux sont soupçonnés de mener des attaques de SoDinokibi / Revil contre plusieurs victimes.

Il est évident que les récents arrestations provoquent d'énormes vagues dans le monde de la cyber criminalité, où les individus pensaient éviter d'être pris comme de vulgaires mangeur de cigogne en se faisant payer en cryptomonnaies sur le Dark Web.

Dernier point: le vecteur d'attaque le plus courant utilisé par SoDinokibi / Revil est via des sessions RDP ainsi que par email (phishing et exploitation de vulnérabilité logicielle / matérielle). Au fond être un cybercriminel demande autant d'efforts qu'être un honnête professionnel de l'informatique. 😳 Vous avez dépassé le stade de vous demander si le haricot vert est un légume ou un féculent? Alors n'hésitez pas à me poser des questions sur le résumé de « Derrière nos écrans de fumée » car cela m'intéresse. Je dis tout ceci en dépit du fait que (subjonctif ou indicatif) je n'ai été confronté qu'une unique fois à un cryptoblocage.

SkypeOutre l'email, mobile, téléphone, Telegram, réseaux sociaux, je vous invite à me retrouver également sur Skype. Très utile, installé sur mon mobile, je reçois instantanément vos messages. Vous n'aurez pas à patienter pour être ajouté. Mon identifiant: michelcampillo.

Aix en Provence, le 13 novembre 2021

Michel Campillo

Michel Campillo Michel Campillo
Consultant chef de projet IT
06 89 56 58 18  contact par email

➽ Les articles d'actualité sont repris chronologiquement sur la page d'accueil du blog. Vous pouvez aussi consulter Méthode de l'Inbox Zéro pour gérer ses emails, Accès au portail Zimbra de Pierre-Bénite, ChatGPT peut désormais vous parler, Le groupe de hackers RansomedVC a piraté Sony, Les API, l'une des principales failles de sécurité dans une entreprise, MalasLocker, un cryptobloqueur qui s'attaque aux serveurs Zimbra, La « grève » des modérateurs de Reddit, GFI devient Inetum, Viva Technology 2023, visiter le salon tech de Paris, Quelles sont les limites de stockage pour Google Drive?. J'aime assez cet article: « Comment supprimer un abonné sur Twitter? ».

Ce billet vous a intéressé? Alors partagez-le en cliquant sur les boutons ci-dessous:

Facebook Twitter Mastodon LinkedIn

Merci de vos partages! 👷🏻‍

IP du visiteur: 44.212.99.208
Serveur ec2-44-212-99-208.compute-1.amazonaws.com
Navigateur CCBot/2.0 (https://commoncrawl.org/faq/)



🎯 Autres options: Mentions légales, Quelques outils de gestion de projet open source disponibles, À quoi sert une page entreprise Linkedin ?, L'ERP nouvelle génération arrive, Carte mentale, exemples et concept, Intergiciel ERP, Logiciel de prise de notes, Être consultant sur un logiciel métier, Logiciels ERP les plus connus, Les outils en gestion Agile, quelles alternatives?, La quête d'un chef de projet pour la productivité.
✇ Site web 🤖 100% thermo-dynamique 🌱 depuis 2004 🌿

Copyright © 2004-2024 Michel Campillo, tous droits réservés

eXTReMe Tracker