Devis de remise multi-licences
Données concernant les menaces Ransomware Ransomware Mortar

Ransomware Mortar

Par Mezo en Ransomware
Se traduisent par :

Les logiciels malveillants demeurent l'une des menaces les plus importantes en matière de cybersécurité pour les organisations et les particuliers. Les attaques modernes par rançongiciel peuvent perturber les activités commerciales, engendrer des pertes financières considérables et compromettre des informations sensibles en quelques heures seulement. Face à la sophistication croissante des groupes de rançongiciels, il est essentiel de maintenir des contrôles de sécurité rigoureux et des défenses proactives afin de protéger les données précieuses et d'assurer la continuité des opérations.

Aperçu du ransomware Mortar

Mortar Ransomware est un logiciel malveillant de chiffrement de fichiers identifié par des chercheurs en cybersécurité. Cette menace cible principalement les environnements d'entreprise, où les attaquants cherchent à perturber au maximum les opérations et à exercer une pression accrue sur les victimes pour qu'elles paient une rançon. Une fois déployé au sein d'un réseau compromis, Mortar chiffre les fichiers et laisse une note de rançon nommée d'après l'identifiant unique de la victime, selon le format « README-[identifiant de la victime].txt ».

Ce ransomware se distingue par sa capacité à renommer les fichiers. Lors du chiffrement, Mortar ajoute un identifiant unique à chaque fichier infecté. Par exemple, un fichier nommé « 1.png » peut devenir « 1.png.4RcrXfvVksS5ACA », tandis qu'un document comme « 2.pdf » peut être transformé en « 2.pdf.4RcrXfvVksS5ACA ». Ce même identifiant est ensuite utilisé dans le nom de la note de rançon, établissant ainsi un lien direct entre la victime et l'attaque.

Processus de chiffrement et demandes de rançon

Après avoir infiltré un réseau, Mortar chiffre un large éventail de données, notamment des documents, des bases de données, des photographies et d'autres fichiers professionnels importants. La demande de rançon affirme que les attaquants ont utilisé les algorithmes de chiffrement AES-256 et RSA-2048 pour verrouiller les informations de la victime. Bien que de telles affirmations soient courantes chez les auteurs de rançongiciels, l'objectif reste le même : rendre les données inaccessibles sans la clé de déchiffrement correspondante.

La demande de rançon informe les victimes que le seul moyen de récupérer leurs fichiers est d'acheter un outil de déchiffrement auprès des pirates. Au lieu de fixer un montant, les criminels redirigent les victimes vers un portail Tor et leur fournissent des identifiants de connexion (nom d'utilisateur et mot de passe). Cette méthode leur permet de négocier les paiements individuellement et d'ajuster potentiellement le montant de la rançon en fonction de la valeur perçue de l'organisation victime.

Les fichiers chiffrés peuvent-ils être récupérés ?

Récupérer des fichiers chiffrés par un rançongiciel est souvent extrêmement difficile sans accès au mécanisme de déchiffrement des attaquants. Dans de rares cas, des chercheurs en cybersécurité découvrent des erreurs d'implémentation ou des failles cryptographiques permettant la création de déchiffreurs gratuits. Cependant, ces cas sont peu fréquents, et les victimes de rançongiciels sophistiqués disposent généralement de peu d'options de récupération.

Payer la rançon est généralement considéré comme une décision très risquée. Les cybercriminels ne sont pas tenus de fournir un outil de déchiffrement fonctionnel après réception du paiement. De nombreuses victimes ont constaté que, malgré le transfert de fonds, les outils de récupération n'ont jamais été livrés, ou que ceux fournis n'ont pas permis de restaurer les données. Par conséquent, le paiement peut entraîner des pertes financières supplémentaires sans garantir la récupération des fichiers.

Vecteurs d’infection et techniques d’attaque

Mortar peut atteindre ses victimes par plusieurs méthodes d'attaque couramment utilisées dans les campagnes de ransomware. L'hameçonnage demeure l'un des vecteurs d'infection les plus répandus. Les attaquants diffusent des courriels contenant des pièces jointes malveillantes, telles que des archives compressées, des fichiers exécutables ou des documents Microsoft Office intégrant des macros dangereuses. Une fois ouverts, ces fichiers peuvent déclencher le déploiement du ransomware.

D'autres vecteurs d'infection incluent les logiciels troyens, les faux mécanismes de mise à jour, les campagnes publicitaires malveillantes, les portails de téléchargement non fiables et les applications piratées distribuées via des canaux non officiels. Ces méthodes exploitent la confiance des utilisateurs et les failles de sécurité pour accéder aux systèmes.

Lors d'intrusions ciblées en entreprise, les acteurs malveillants peuvent recourir à des techniques plus sophistiquées. Les attaquants tentent fréquemment de compromettre les services du protocole RDP (Remote Desktop Protocol) par des attaques par force brute ciblant des identifiants faibles. Ils peuvent également exploiter des vulnérabilités non corrigées dans les systèmes exposés à Internet afin d'obtenir un accès initial avant de se propager latéralement sur le réseau et de déployer un rançongiciel sur plusieurs appareils simultanément.

Réponse à une infection de mortier

Une fois Mortar détecté, son confinement immédiat est crucial. Supprimer le ransomware des systèmes infectés permet d'empêcher toute nouvelle activité de chiffrement et réduit le risque de dommages supplémentaires. Toutefois, il ne faut pas confondre suppression du logiciel malveillant et récupération des données. L'élimination du programme malveillant ne restaure pas automatiquement les fichiers chiffrés.

La méthode de récupération la plus fiable reste la restauration de sauvegardes saines créées avant l'attaque. Ces sauvegardes doivent être stockées séparément des systèmes de production afin d'empêcher le chiffrement des référentiels de sauvegarde par un ransomware lors d'un incident. Les organisations qui conservent des sauvegardes sécurisées et isolées sont généralement bien mieux armées pour se remettre d'attaques de ransomware sans avoir à collaborer avec les cybercriminels.

Mettre en place des défenses robustes contre les ransomwares

Une protection efficace contre les ransomwares exige une stratégie de sécurité multicouche combinant technologie, sensibilisation des utilisateurs et maintenance proactive. Les organisations doivent mettre à jour régulièrement leurs systèmes d'exploitation, applications et périphériques réseau afin d'éliminer les vulnérabilités fréquemment exploitées par les attaquants. Des politiques d'authentification robustes, notamment pour les services d'accès à distance, peuvent réduire considérablement le risque d'intrusion.

Il est tout aussi important de mettre en place une stratégie de sauvegarde robuste. Les données critiques doivent être copiées sur plusieurs supports, y compris des supports de stockage hors ligne ou déconnectés, inaccessibles depuis des systèmes compromis. Des tests réguliers des sauvegardes garantissent le bon fonctionnement des procédures de restauration en cas d'urgence.

Les principales pratiques de sécurité comprennent :

  • Effectuer des sauvegardes fréquentes stockées dans des emplacements séparés et protégés.
  • Appliquer les mises à jour et les correctifs de sécurité dès leur disponibilité.
  • Utiliser des mots de passe forts et uniques et activer l'authentification multifacteurs.
  • Limiter les services d'accès à distance inutiles et surveiller les tentatives de connexion.
  • Former les employés à reconnaître les courriels d'hameçonnage et les pièces jointes suspectes.
  • Déploiement de solutions réputées de protection des terminaux et de surveillance réseau.

Les organisations devraient également adopter le principe du moindre privilège, en n'accordant aux utilisateurs que les accès nécessaires à leurs fonctions. La surveillance continue, les audits de sécurité et la planification des réponses aux incidents renforcent la résilience face aux attaques de rançongiciels telles que Mortar. La combinaison de mesures préventives, de capacités de détection rapide et de systèmes de sauvegarde fiables demeure la défense la plus efficace contre les menaces modernes de chiffrement de fichiers.

Conclusion

Le ransomware Mortar représente une menace sérieuse pour les réseaux d'entreprise, car il est capable de chiffrer des données sensibles, de perturber les opérations et de contraindre les victimes à payer une rançon pour le déchiffrement. En ajoutant des identifiants uniques aux fichiers chiffrés et en redirigeant les victimes vers un portail de rançon dédié, les attaquants adoptent une approche structurée et ciblée. Bien que la récupération des fichiers chiffrés puisse s'avérer complexe, les organisations qui privilégient des pratiques de cybersécurité robustes, maintiennent des sauvegardes isolées et corrigent proactivement leurs vulnérabilités peuvent réduire considérablement l'impact des attaques par ransomware et améliorer leur niveau de sécurité global.

System Messages

The following system messages may be associated with Ransomware Mortar:

--------------------------------------------
| What happened to your files?
--------------------------------------------

We breached your corporate network and encrypted the data on your computers. The encrypted data includes documents, databases, photos and more - all were encrypted using a military grade encryption algorithms (AES-256 and RSA-2048). You cannot access those files right now. But don't worry!

You can still get those files back and be up and running again in no time.

---------------------------------------------
| How to contact us to get your files back?
---------------------------------------------

The only way to restore your files is by purchasing a decryption tool loaded with a private key we created specifically for your network.

Once run on an effected computer, the tool will decrypt all encrypted files - and you can resume day-to-day operations, preferably with better cyber security in mind. If you are interested in purchasing the decryption tool contact us at hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion.

!IMPORTANT!
TO RESTORE YOUR FILES CONTACT US VIA TOR BROWSER

WEBSITE: hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion
USERNAME: sid
PASSWORD: 4RcrXfvVksS5ACA

BACKUP LINK TO SUPPORT TEAM: hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion
!!!!!!!!!!!

Tendance

Arnaque par e-mail de collaboration LinkedIn

Hameçonnage, Courrier indésirable
Les cybercriminels à l'origine de l'escroquerie LinkedIn Collaboration tentent d'appâter leurs victimes avec ce qui semble être une demande commerciale professionnelle. Les courriels prétendent provenir d'un acheteur nommé « Jonathan Spriggs » de la société Storex Trading Ltd., qui aurait soi-disant trouvé le destinataire via LinkedIn et souhaiterait discuter d'une importante commande de 12 000...

Votre client de messagerie Microsoft Outlook est...

Hameçonnage, Courrier indésirable
Les courriels « Votre client de messagerie Microsoft Outlook est obsolète » sont des messages d'hameçonnage conçus pour ressembler à des notifications de sécurité officielles de Microsoft Outlook. Ces courriels avertissent les destinataires que leur client de messagerie est prétendument obsolète et affirment que le défaut de mise à jour immédiate pourrait entraîner la perte de courriels, de...

Le plus regardé

Chargement...