Logiciel de rançon Moneybird
Le groupe de hackers iranien Agrius, également connu sous le nom de Pink Sandstorm et anciennement Americium, a récemment développé une nouvelle souche de ransomware appelée Moneybird. Ce logiciel malveillant menaçant a été observé ciblant spécifiquement des organisations israéliennes, ce qui signifie un changement significatif dans la tactique d'Agrios.
Table des matières
Les cybercriminels élargissent leur arsenal de menaces
Agrius a l'habitude de mener des attaques destructrices d'effacement de données contre des entités israéliennes, les déguisant souvent en incidents de ransomware. L'émergence de Moneybird, codé en C++, témoigne de l'expertise croissante du groupe et de son engagement continu dans la création de nouveaux outils cyber.
Les activités du groupe remontent au moins à décembre 2020, lorsque Agrius a été impliqué dans des tentatives d'intrusion visant à perturber les industries du diamant en Afrique du Sud, en Israël et à Hong Kong. Auparavant, Agrius utilisait un essuie-glace devenu rançongiciel appelé Apostle, basé sur le framework .NET, et son successeur nommé Fantasy. Cependant, Moneybird représente une avancée significative pour le groupe, car il présente ses cybercapacités en constante évolution grâce à son langage de programmation C++.
Les acteurs de la menace exploitent les vulnérabilités de sécurité pour y accéder
La méthodologie d'attaque employée par Moneybird Ransomware démontre un haut niveau de sophistication, à commencer par l'exploitation des vulnérabilités présentes dans les serveurs Web faisant face à Internet. Cette exploitation initiale offre aux attaquants un point d'entrée crucial dans le réseau de l'organisation ciblée, facilité par le déploiement d'un shell Web ASPXSpy.
Une fois à l'intérieur du réseau compromis, le shell Web sert de canal de communication permettant aux attaquants d'exécuter une gamme d'outils bien connus spécialement conçus pour effectuer une reconnaissance approfondie de l'environnement de la victime. Ces outils permettent aux attaquants de se déplacer latéralement au sein du réseau, de recueillir des informations d'identification précieuses et d'exfiltrer des données sensibles.
Le Moneybird Ransomware est équipé de capacités de cryptage avancées
Après la phase initiale d'infiltration et de reconnaissance, le Moneybird Ransomware est activé sur l'hôte compromis. Ce ransomware est conçu avec un accent particulier sur le cryptage des fichiers sensibles situés dans le dossier "F:\User Shares". Lors de son exécution, le ransomware déploie une note de rançon, exerçant une pression immense sur les victimes pour qu'elles établissent un contact dans un délai de 24 heures, les avertissant de la fuite publique potentielle de leurs données volées.
Moneybird Ransomware utilise une méthodologie de cryptage hautement sophistiquée, utilisant AES-256 avec GCM (Galois/Counter Mode). Cette technique de cryptage avancée génère des clés de cryptage uniques pour chaque fichier et ajoute des métadonnées cryptées à la fin. Le ciblage de précision et le cryptage robuste mis en œuvre par Moneybird rendent la tâche de restauration des données et de décryptage des fichiers extrêmement difficile, voire presque impossible, dans la majorité des cas.
Mesures de sécurité importantes pour arrêter une attaque de ransomware
Des mesures de sécurité efficaces peuvent être mises en œuvre pour protéger les appareils et les données contre les attaques de ransomwares. Premièrement, il est essentiel de maintenir un logiciel de sécurité à jour et robuste. La mise à jour régulière des programmes anti-malware, ainsi que l'activation des mises à jour automatiques, aident à se protéger contre les dernières menaces.
La mise en place de mots de passe forts et uniques pour tous les comptes est une autre étape cruciale. Cela consiste à utiliser une combinaison de lettres, de chiffres et de symboles, ainsi qu'à éviter les mots de passe courants et facilement devinables. De plus, l'activation de l'authentification multifacteur ajoute une couche de sécurité supplémentaire en exigeant des étapes de vérification supplémentaires pour accéder aux comptes.
La sauvegarde régulière des données pertinentes est essentielle pour atténuer l'impact d'une attaque de ransomware. La création de sauvegardes hors ligne ou l'utilisation de solutions de stockage dans le cloud garantit que les fichiers critiques peuvent être récupérés en cas de chiffrement ou de perte.
Il est essentiel d'être prudent lorsque vous naviguez sur Internet et que vous interagissez avec les e-mails. Les utilisateurs doivent faire preuve de scepticisme lorsqu'ils cliquent sur des liens suspects ou téléchargent des fichiers à partir de sources non fiables. Il est crucial d'être vigilant et d'éviter de visiter des sites Web potentiellement dangereux ou de recevoir des e-mails suspects, car ils peuvent contenir des charges utiles de ransomware.
Se former et se tenir informé des dernières menaces en matière de cybersécurité et des techniques d'attaque est très bénéfique. Reconnaître les tactiques d'ingénierie sociale courantes utilisées dans les attaques de phishing et être conscient des signes d'une infection potentielle par ransomware peut aider les utilisateurs à prendre des mesures proactives pour prévenir et répondre à de telles attaques.
La mise à jour régulière des systèmes d'exploitation, des applications et des micrologiciels est un autre aspect essentiel du maintien d'une sécurité renforcée. Les correctifs et les mises à jour incluent souvent des correctifs de sécurité qui corrigent des vulnérabilités qui pourraient être exploitées par des rançongiciels et d'autres logiciels malveillants.
En appliquant une combinaison de ces mesures de sécurité, les utilisateurs peuvent améliorer la protection de leurs appareils et de leurs données contre l'impact dévastateur des attaques de ransomwares.
