Hitobito Ransomware

Les chercheurs en cybersécurité ont identifié une nouvelle menace de ransomware nommée Hitobito. Ce logiciel menaçant crypte les fichiers sur les appareils infectés, les rendant inaccessibles à l'utilisateur. Les attaquants exigent ensuite un paiement des victimes en échange du prétendu décryptage des données concernées. Lors de l'activation, Hitobito ajoute l'extension « .hitobito » aux noms de fichiers originaux des fichiers cryptés. Par exemple, un fichier nommé « 1.png » apparaîtra sous la forme « 1.jpg.hitobito » et « 2.pdf » sous la forme « 2.pdf.hitobito », et ainsi de suite pour tous les fichiers verrouillés.

Après le processus de cryptage, Hitobito affiche une demande de rançon dans une fenêtre contextuelle et en génère une autre dans un fichier texte intitulé « KageNoHitobito_ReadMe.txt ». Les deux messages contiennent un contenu identique. De manière significative, il a été déterminé que la version du Hitobito Ransomware découverte est décryptable sans que les victimes n'aient à interagir avec les attaquants.

Hitobito tente d'extorquer ses victimes en prenant des données en otage

Les notes de rançon d'Hitobito servent à informer les victimes que leurs données ont été cryptées, les incitant à dialoguer avec les attaquants via une discussion sur un site Web du réseau Tor pour négocier le prix du décryptage. Cependant, il y a un côté positif pour les personnes touchées par Hitobito : ce ransomware est déchiffrable. Le mot de passe, ou clé, de décryptage est « Mot de passe123 » (sans les guillemets).

Cependant, même si Hitobito est actuellement déchiffrable, les futures itérations de ce malware pourraient être accompagnées de clés de récupération différentes. Les ransomwares utilisent généralement des algorithmes cryptographiques robustes et des clés uniques, ce qui rend rare le décryptage sans l’implication des attaquants.

De plus, les victimes ne reçoivent pas toujours les clés de récupération ou les logiciels promis, même après avoir satisfait aux demandes de rançon. Cela souligne le risque associé au paiement de la rançon, car non seulement elle ne garantit pas le décryptage des fichiers, mais elle soutient également des activités criminelles.

Pour empêcher un cryptage supplémentaire des données par un ransomware comme Hitobito, il est essentiel de supprimer le malware du système d'exploitation. Cependant, il est essentiel de comprendre que la suppression du ransomware ne restaurera pas les fichiers déjà compromis.

Mesures de sécurité pour vous aider à mieux protéger vos données et appareils contre les menaces de ransomware

La mise en œuvre d'une approche de sécurité à plusieurs niveaux est essentielle pour mieux protéger les données et les appareils contre les menaces de ransomware. Voici quelques mesures de sécurité clés :

• Mises à jour logicielles cohérentes et gestion des correctifs : assurez-vous que tous les systèmes d'exploitation, applications logicielles et programmes de sécurité sont systématiquement mis à jour avec les correctifs de sécurité les plus récents. Les logiciels obsolètes possédant des vulnérabilités peuvent être exploités par des attaquants de ransomware.
• Utilisation d'un logiciel anti-malware : installez un logiciel anti-malware réputé sur tous les appareils et tenez-les à jour. Ces applications peuvent aider à détecter et à prévenir les infections par ransomware avant qu’elles ne causent des dommages.

• Protection par pare-feu : activez les pare-feu sur tous les appareils et réseaux pour surveiller et contrôler le trafic entrant et sortant. Les pare-feu peuvent empêcher les ransomwares d’accéder aux appareils et de se propager sur les réseaux.

• Formation et sensibilisation des employés : éduquez les employés sur les risques liés aux ransomwares et apprenez-leur à identifier les e-mails, liens et pièces jointes suspects. Organisez régulièrement des formations de sensibilisation à la sécurité pour promouvoir des pratiques informatiques sûres.

• Contrôles d'accès et moindre privilège : limitez les privilèges des utilisateurs et les droits d'accès à ceux nécessaires à leurs rôles. Renforcez le principe du moindre privilège pour minimiser l’impact des attaques de ransomwares en restreignant l’accès aux données sensibles et aux systèmes critiques.

• Sauvegarde des données : sauvegardez régulièrement les données vers des solutions de sauvegarde hors ligne ou basées sur le cloud. Assurez-vous que les sauvegardes sont cryptées, régulièrement testées pour leur fiabilité et stockées en toute sécurité.

• Segmentation du réseau : segmentez les réseaux pour distinguer les systèmes critiques et les données privées des autres parties du réseau. Cela peut aider à arrêter la propagation des ransomwares et à limiter les dégâts causés par une infection.

En mettant en œuvre ces mesures de sécurité, les organisations peuvent mieux protéger leurs données et leurs appareils contre les menaces de ransomware et réduire le risque d'être victime de ces attaques dommageables.

La demande de rançon adressée aux victimes du Ransomware Hitobito se lit comme suit :

'Ooops, your files have been encrypted by Kage No Hitobito Group!

All your important files and documents have been encrypted by us.

Step 1:
On your current desktop, open up your default browser.
Search for Tor Browser or visit hxxps://www.torproject.org/
If you cannot access Tor then use a VPN to get it instead.
Then download to the Tor Browser and follow Step 2.

Step 2:
Navigate to the group chat and select 'Hitobito' from the username list.
Message with your situation and the price you are willing to pay for your files.
hxxp://notbumpz34bgbz4yfdigxvd6vzwtxc3zpt5imukgl6bvip2nikdmdaad.onion/chat/
If you do not know how to private messasge, ask the chat, they are usually friendly.
Though we advise you not to click links or follow any discussion they talk of.

Step 3: This is the important part, the one where you restore your computer quickly.
If you negotiate correctly and pay our ransom, we will send you a decryptor.
Reminder that 'Hitobito' can be impersonated or be one of several group members.'