Ransomware LAPSUS$

Le Lapsus$ Group Ransomware, également identifié par les chercheurs en infosec sous le nom de LAPSUS$ (ZZART3XX), est une menace nuisible spécialement conçue pour crypter les données des victimes ciblées lors d'une infiltration réussie de leurs appareils. Ce ransomware ajoute l'extension « .EzByZZART3XX » aux noms de fichiers originaux de tous les fichiers compromis. En plus du processus de cryptage, LAPSUS$ délivre sa demande de rançon sous forme de fichier texte nommé « Open.txt » et modifie le fond d'écran du bureau. Pour illustrer le modèle de changement de nom employé par LAPSUS$, considérons ce qui suit : il transforme « 1.pdf » en « 1.pdf.EzByZZART3XX », « 2.png » en « 2.png.EzByZZART3XX », et ainsi de suite. Ceci illustre la méthode par laquelle LAPSUS$ modifie les noms de fichiers cryptés dans le cadre de son opération de rançongiciel.

Le ransomware LAPSUS$ cherche à extorquer les victimes en prenant des données en otage

La demande de rançon générée par le LAPSUS$ Ransomware est rédigée en français et sert de communication aux attaquants pour informer les victimes que leurs fichiers critiques ont été cryptés. La seule méthode de récupération de ces fichiers, comme indiqué dans la note, consiste à acheter la clé de déchiffrement auprès des acteurs malveillants. Le coût spécifié pour la clé est de 500 $ en Bitcoin, et les victimes disposent d'un délai de 24 heures pour effectuer le paiement. La note affirme que le non-respect de ce délai entraînera la destruction définitive des fichiers cryptés.

Pour faciliter le processus de paiement et de communication, la note fournit une adresse e-mail (zzart3xx@onionmail.org) où les victimes peuvent contacter les acteurs de la menace. Il est important de noter que les victimes sont averties de ne pas demander l'aide des forces de l'ordre ou de toute autre partie externe, ce qui souligne l'idée que le respect des demandes de rançon est présenté comme le seul moyen d'éviter des dommages irréversibles aux données cryptées.

Il est crucial de souligner l’avertissement général destiné aux victimes d’attaques de ransomware, qui décourage fortement le paiement d’une rançon. Cette prudence s’explique par le fait que le paiement d’une rançon ne garantit pas la fourniture d’une clé de déchiffrement ni la récupération réussie des fichiers. De plus, succomber aux demandes de rançon contribue à perpétuer les activités criminelles en apportant un soutien financier aux attaquants.

De plus, il est impératif de supprimer rapidement les ransomwares des systèmes infectés. Cette action évite d’autres dommages, atténue le risque de violations de données supplémentaires et contribue à se prémunir contre d’éventuelles pertes financières.

Assurez-vous que vos appareils disposent d’une défense robuste contre les menaces de logiciels malveillants et de ransomwares

Garantir que les appareils disposent d’une défense robuste contre les menaces de logiciels malveillants et de ransomwares implique la mise en œuvre d’une stratégie globale de cybersécurité. Voici les principales mesures que les utilisateurs peuvent prendre pour améliorer la sécurité de leurs appareils :

• Gardez les logiciels et les systèmes d'exploitation toujours à jour : assurez-vous de mettre à jour tous les logiciels, y compris le système d'exploitation, les programmes antivirus et les applications. Ces mises à jour incluent souvent des correctifs de sécurité qui corrigent les vulnérabilités, ce qui rend plus difficile pour les logiciels malveillants d'exploiter les faiblesses du système.

• Utilisez un logiciel anti-malware fiable : installez des solutions anti-malware réputées sur vos appareils. Assurez-vous que ces programmes sont configurés pour se mettre à jour automatiquement et effectuez des analyses régulières pour identifier et supprimer les menaces potentielles.

• Activer les pare-feu : activez les pare-feu sur vos appareils pour suivre et contrôler le trafic réseau entrant et sortant. Les pare-feu constituent une barrière entre votre appareil et les menaces potentielles, empêchant tout accès non autorisé et protégeant contre les logiciels malveillants.

• Faites preuve de prudence lors de la navigation par courrier électronique et sur le Web : méfiez-vous des pièces jointes, des liens et des sites Web provenant de sources inconnues ou suspectes. Essayez de ne pas interagir avec les liens ou de télécharger des pièces jointes non vérifiées à moins que vous ne soyez certain de leur légitimité. De nombreuses attaques de malwares et de ransomwares proviennent d’e-mails de phishing ou de sites Web malveillants.

• Sauvegarder régulièrement les données : mettez en œuvre une stratégie de sauvegarde robuste en sauvegardant régulièrement les données importantes sur un appareil externe ou un service cloud sécurisé. Lors d’une attaque de ransomware, disposer de sauvegardes à jour garantit que vous pouvez restaurer vos fichiers sans succomber aux demandes de rançon.

• Implémenter l’authentification multifacteur (MFA) : activez l’authentification multifacteur autant que possible. MFA fonctionne comme une couche de sécurité supplémentaire en exigeant des étapes de vérification supplémentaires, telles qu'un code envoyé sur votre appareil mobile et le mot de passe.

• Instruisez-vous et restez informé : restez informé des dernières menaces de cybersécurité et des meilleures pratiques. Renseignez-vous régulièrement, ainsi que les membres de votre équipe, sur la façon de reconnaître les tentatives de phishing, les liens suspects et autres menaces potentielles.

En combinant ces pratiques, les utilisateurs peuvent créer une défense solide contre les menaces de logiciels malveillants et de ransomwares, réduisant ainsi les risques d'être victimes de cyberattaques et protégeant l'intégrité de leurs appareils et de leurs données.

La demande de rançon déposée par le LAPSUS$ Ransomware se lit comme suit :

'Ceci est un message de provenant du groupe LAPSUS$, plus précisément ZZART3XX. Le message indique que vos fichiers importants ont été chiffrés, et que la seule manière de les récupérer est d'acheter la clé de déchiffrement. Le coût de la clé est de 500 $ en Bitcoin, et vous devez le payer dans les 24 heures pour recevoir la clé. L'échec à le faire entraînera la destruction permanente de vos fichiers. Pour acheter la clé de déchiffrement, veuillez contacter nous à zzart3xx@onionmail.org. N'essayez pas de contacter la police ou d'autres tiers, car ils ne pourront pas vous aider. La conformité est obligatoire.

Si vous avez des questions ou des préoccupations, vous pouvez nous contacter par l'intermédiaire de l'adresse e-mail fournie. Il est essentiel de suivre ces instructions et d'acheter la clé de déchiffrement pour récupérer vos fichiers chiffrés. L'échec à le faire entraînera des dommages irréversibles à votre données.

Adresse BTC:38BQNmsqh2fgAfqF31FrnrsMs5JnC23CmJ'