AlumniLocker Ransomware

Les chercheurs d'Infosec ont découvert une nouvelle menace de ransomware puissante basée sur le ransomware Thanos (Tycoon) précédemment détecté. Cette nouvelle variante du Thanos Ransomware s'appelle AlumniLocker Ransomware et présente des caractéristiques inhabituelles qui pourraient indiquer que le groupe qui en est responsable est encore assez inexpérimenté dans la réalisation de campagnes d'attaque de ransomware.

 En tant que vecteur de violation initial, AlumniLocker utilise des e-mails de phishing contenant des pièces jointes PDF corrompues. Le corps de l'e-mail et le fichier joint sont conçus pour ressembler à une facture importante dans le but d'amener l'utilisateur cible à ouvrir le fichier le plus rapidement possible. Dans le faux PDF de la facture, les utilisateurs trouveront un lien qui, une fois cliqué, déposera une archive ZIP contenant un téléchargeur sur leurs ordinateurs.

 La charge utile AlumniLocker est ensuite récupérée et exécutée par un script PowerShell déguisé en fichier JPG. La méthode de lancement du ransomware utilise un module BITS (Background Intelligent Service Transfer). Une fois déployée, la menace cryptera les fichiers de la victime et ajoutera «.alumni» à leurs noms d'origine en tant que nouvelle extension. À la fin de la routine de cryptage, un fichier texte contenant des instructions pour la victime sera généré.

C'est ici que le premier aspect particulier de AlumniLocker Ransomware apparaît. Apparemment, les cybercriminels veulent recevoir la somme de 10 Bitcoin s'ils doivent envoyer l'outil de décryptage à leurs victimes. Le prix du Bitcoin est connu pour sa volatilité, mais au rythme actuel, 10 bitcoins valent plus de 500000 dollars, un montant que peu d'individus ou même d'organisations ont simplement traîner. Les pirates semblent également avoir une certaine notion de cette réalité car ils ont également un plan de sauvegarde de chantage. Les victimes sont averties que si elles ne paient pas la rançon dans les 48 heures, les informations qui ont été collectées à partir du système compromis par AlumniLocker seront rendues publiques sur un site Web spécialement conçu. Cependant, suivre le lien montre qu'au moment où AlumniLocker a été découvert, le site Web était inaccessible.

 La rançon exorbitante associée au site Web non fonctionnel de fuite sont des signes que le groupe de hackers derrière AlumniLocker en est peut-être à ses balbutiements.