Ransomware Hommy

Par Mezo en Ransomware

Se traduisent par :

Les logiciels malveillants demeurent l'une des menaces les plus importantes en matière de cybersécurité pour les organisations et les particuliers. Les programmes malveillants modernes sont conçus non seulement pour perturber les opérations, mais aussi pour voler des informations sensibles, extorquer des victimes et causer des pertes financières considérables. Les rançongiciels, en particulier, sont devenus une activité criminelle très lucrative, rendant les mesures de sécurité proactives essentielles pour protéger les données précieuses et assurer la continuité des activités. Parmi les menaces les plus récentes identifiées par les chercheurs en cybersécurité figure le rançongiciel Hommy, une souche dangereuse de logiciel malveillant de chiffrement de fichiers associée à la famille des rançongiciels Makop.

Table des matières

Présentation du ransomware Hommy

Hommy est un ransomware qui chiffre les fichiers sur les systèmes infectés et exige une rançon des victimes en échange d'une prétendue solution de déchiffrement. Les chercheurs en sécurité l'ont identifié comme appartenant à la famille de ransomwares Makop, un groupe connu pour cibler les organisations et utiliser des techniques de double extorsion combinant le chiffrement des données et la menace de divulgation publique de ces données.

Une fois exécuté sur le système de la victime, Hommy recherche et chiffre de nombreux types de fichiers, les rendant inaccessibles. Outre le verrouillage des fichiers, le ransomware modifie leurs noms en y ajoutant un identifiant unique de la victime, l'adresse électronique de contact des attaquants et l'extension « .hommy ». Par exemple, un fichier initialement accessible peut être renommé « document.docx.[2AF20FA3].[privatehommy@outlook.com].hommy ». Ce modèle de renommage sert à la fois de marqueur d'infection et permet aux attaquants d'associer les fichiers chiffrés à une victime spécifique.

Outre le chiffrement des fichiers, Hommy dépose une note de rançon nommée « +README-WARNING+.txt » et modifie le fond d'écran du bureau pour s'assurer que les victimes prennent immédiatement conscience de l'attaque.

Comprendre la demande de rançon

La demande de rançon utilisée par Hommy est concise mais intimidante. Les victimes sont informées que leurs fichiers ont été chiffrés et que des données auraient été volées dans l'environnement infecté. Les pirates affirment que le paiement est nécessaire non seulement pour récupérer l'accès aux fichiers chiffrés, mais aussi pour empêcher la publication des informations exfiltrées.

Les victimes sont invitées à contacter les auteurs de la menace à l'adresse électronique « privatehommy@outlook.com » et à indiquer leur identifiant de victime dans toutes leurs communications. Il est à noter que le message ne précise ni le montant de la rançon, ni le mode de paiement, ni aucune date limite. Ces informations ne sont généralement communiquées qu'après un contact direct avec les attaquants.

Un autre point préoccupant est l'absence de toute preuve que les attaquants possèdent une capacité de déchiffrement fonctionnelle. Contrairement à certaines opérations de rançongiciel qui proposent de déchiffrer un petit fichier d'exemple comme preuve, les opérateurs de Hommy ne fournissent aucune vérification de ce type dans leur message.

Chiffrement de fichiers et tactiques d’extorsion de données

La méthode d'attaque employée par Hommy reflète les tendances générales observées dans le paysage des rançongiciels. Plutôt que de se reposer uniquement sur le chiffrement des fichiers, cette menace intègre le vol de données à sa stratégie d'extorsion. Cette approche accroît considérablement la pression sur les victimes, notamment les entreprises qui traitent des informations clients sensibles, de la propriété intellectuelle ou des documents confidentiels.

L'association du chiffrement et du vol de données crée une situation complexe pour les organisations concernées. Même si des sauvegardes sont disponibles et qu'une reprise opérationnelle est possible, le risque de divulgation d'informations sensibles peut entraîner des conséquences juridiques, financières et de réputation.

Comme de nombreuses familles de rançongiciels, Hommy utilise des mécanismes de chiffrement robustes qui empêchent généralement les victimes de restaurer leurs fichiers sans avoir accès aux outils de déchiffrement des attaquants. La récupération sans l'intervention des cybercriminels n'est généralement possible que lorsque des chercheurs découvrent des failles critiques dans l'implémentation du rançongiciel lui-même, ce qui est rare.

Comment le ransomware Hommy se propage

Hommy est principalement associé aux attaques contre les services distants mal sécurisés. Les acteurs malveillants ciblent fréquemment les systèmes exposés à Internet utilisant des identifiants faibles ou ne disposant pas de contrôles de sécurité adéquats. Les services RDP (Remote Desktop Protocol) constituent des cibles particulièrement prisées, car les attaquants peuvent y tenter des attaques par force brute pour obtenir un accès non autorisé aux réseaux d'entreprise.

Une fois l'accès obtenu, les attaquants peuvent déployer manuellement le ransomware dans tout l'environnement, maximisant ainsi les dégâts et augmentant la probabilité de réussite d'une tentative d'extorsion.

Parmi les autres vecteurs d'infection couramment associés à Hommy et aux variantes de ransomware apparentées de Makop, on peut citer :

Courriels d'hameçonnage contenant des pièces jointes ou des liens malveillants
Cheval de Troie qui télécharge et installe des charges utiles supplémentaires
De fausses mises à jour logicielles conçues pour inciter les utilisateurs à exécuter du code malveillant
Logiciels piratés et applications crackées obtenues à partir de sources non fiables
Documents malveillants, scripts, fichiers exécutables et archives compressées telles que les fichiers ZIP ou RAR

Ces fichiers peuvent paraître inoffensifs, mais ils peuvent déclencher le processus d'infection immédiatement après leur ouverture ou leur exécution.

Pourquoi payer la rançon est une décision risquée

Les experts en cybersécurité déconseillent fortement le paiement de rançons. Rien ne garantit que les auteurs de ces attaques fourniront un outil de déchiffrement fonctionnel après réception du paiement. De nombreuses victimes de rançongiciels ont signalé des cas où les criminels ont disparu après le paiement ou ont fourni des outils de récupération inefficaces.

De plus, le paiement d'une rançon soutient directement les activités criminelles et contribue à la propagation des campagnes de rançongiciels. Les organisations qui choisissent de négocier avec les attaquants risquent également de devenir des cibles privilégiées si les criminels les perçoivent comme disposées à payer.

Au lieu de financer les cybercriminels, les organisations touchées devraient se concentrer sur les procédures de réponse aux incidents, les enquêtes numériques, les efforts de confinement et la restauration à partir de sauvegardes saines chaque fois que cela est possible.

Considérations relatives à la récupération et à l’enlèvement

La suppression du ransomware Hommy d'un appareil infecté est essentielle pour empêcher tout chiffrement supplémentaire et toute compromission plus importante. Cependant, la suppression du logiciel malveillant à elle seule ne permet pas de restaurer les fichiers déjà chiffrés.

La méthode de récupération la plus fiable reste la restauration des données à partir de sauvegardes créées avant l'attaque. Ces sauvegardes doivent être stockées séparément des systèmes de production, par exemple sur des périphériques de stockage hors ligne ou des serveurs de sauvegarde distants sécurisés, difficiles d'accès pour les rançongiciels.

Les organisations ne disposant pas de sauvegardes fiables peuvent rencontrer des difficultés importantes lors de la récupération de données chiffrées. Dans ce cas, il est conseillé de consulter des spécialistes en réponse aux incidents afin d'évaluer les options de récupération disponibles et de déterminer l'étendue de la violation.

Renforcer les défenses contre les ransomwares

La prévention des infections par rançongiciel exige une stratégie de sécurité multicouche combinant des mesures techniques de protection et la sensibilisation des utilisateurs. Les organisations doivent prioriser la sécurisation des services d'accès à distance en appliquant des politiques de mots de passe robustes, en mettant en œuvre l'authentification multifacteurs et en limitant l'exposition des interfaces de gestion à Internet.

Les mises à jour logicielles régulières sont tout aussi importantes car les attaquants exploitent fréquemment les vulnérabilités connues des systèmes d'exploitation et des applications obsolètes. Des solutions complètes de protection des terminaux, des outils de surveillance réseau et des systèmes de détection d'intrusion peuvent contribuer à identifier les activités malveillantes avant qu'elles ne dégénèrent en une attaque de ransomware de grande ampleur.

Il est tout aussi crucial de maintenir une stratégie de sauvegarde robuste. Les sauvegardes doivent être effectuées régulièrement, leur intégrité vérifiée et elles doivent être stockées dans des emplacements isolés des systèmes principaux. Sans sauvegardes fiables, les options de récupération sont considérablement réduites après une attaque.

La formation à la sensibilisation à la sécurité joue également un rôle essentiel. Les employés doivent être formés à reconnaître les tentatives d'hameçonnage, les pièces jointes suspectes, les demandes de téléchargement inattendues et autres techniques d'ingénierie sociale couramment utilisées par les cybercriminels. Étant donné que de nombreuses infections par rançongiciel débutent par une interaction de l'utilisateur, un personnel sensibilisé peut constituer une première ligne de défense efficace.

Évaluation finale

Le ransomware Hommy représente une menace sérieuse pour la cybersécurité. Il combine le chiffrement de fichiers, les allégations de vol de données et les tactiques d'extorsion caractéristiques de la famille de ransomwares Makop. En ciblant les systèmes faiblement protégés et en exploitant de multiples vecteurs d'infection, il peut entraîner de graves perturbations opérationnelles et des pertes financières importantes.

Bien que la suppression du ransomware soit indispensable pour stopper toute activité malveillante ultérieure, la récupération des fichiers chiffrés dépend généralement de la disponibilité de sauvegardes sécurisées. Les organisations peuvent réduire considérablement leurs risques en mettant en œuvre des contrôles d'accès stricts, en maintenant leurs systèmes à jour, en déployant une architecture de sécurité multicouche et en sensibilisant leurs utilisateurs à l'évolution des cybermenaces. Une approche proactive en matière de sécurité demeure la défense la plus efficace contre les attaques de ransomware telles que Hommy.

System Messages

The following system messages may be associated with Ransomware Hommy:

Text shown as a dekstop wallpaper:

Your files were encrypted!
Please contact us for decryption.

The files on your server have been encrypted and stolen.

You must pay to decrypt the files to prevent them from being published online.

Contact me by email for all necessary instructions:
privatehommy@outlook.com

Your ID:

Le dépôt de bilan de Digital River GmbH, le processeur de paiement d'EnigmaSoft, n'a pas d'impact sur la protection anti-malware des clients de SpyHunter

Rechercher

Changer de région