Rançongiciel SWIFT

Les chercheurs ont découvert une nouvelle menace de ransomware appelée SWIFT Ransomware, qui présente un risque important pour la sécurité des données des victimes. Ce logiciel menaçant utilise un algorithme de cryptage robuste, rendant un large éventail de fichiers complètement inaccessibles. Notamment, le SWIFT Ransomware va au-delà du simple cryptage, car il modifie activement les noms de fichiers concernés, change le fond d'écran du système compromis et génère une demande de rançon intitulée « #SWIFT-Help.txt ».

Le processus de renommage du fichier consiste à ajouter l'adresse e-mail « swift_1@tutamail.com » et un. Extension « SWIFT » aux noms de fichiers d'origine. Par exemple, un fichier initialement nommé « 1.png » serait transformé en « 1.png.[swift_1@tutamail.com].SWIFT », et de la même manière, « 2.pdf » deviendrait « 2.pdf.[swift_1@ tutamail.com].SWIFT,' et ainsi de suite. Cette stratégie permet d'identifier les fichiers victimes de l'attaque du ransomware.

Une enquête plus approfondie menée par les chercheurs a confirmé que le SWIFT Ransomware est une variante associée à la famille de logiciels malveillants Proton .

Le ransomware SWIFT extorque de l'argent à ses victimes

La demande de rançon produite par SWIFT Ransomware commence par présenter la situation désastreuse, expliquant que les auteurs ont utilisé des algorithmes de cryptage avancés, en particulier AES et ECC, pour crypter et voler tous les fichiers de la victime. L’utilisation de ces algorithmes rend pratiquement impossible la récupération de fichiers sans le service de décryptage proposé par les attaquants.

Ensuite, la note décrit les étapes nécessaires au rétablissement, en mettant l'accent sur les motivations financières des attaquants. Les cybercriminels proposent une transaction où la victime peut obtenir un logiciel de décryptage et assurer la destruction des données en effectuant un paiement. Pour établir sa crédibilité, le groupe suggère d'envoyer un petit fichier sans importance (moins de 1 Mo) pour décryptage afin de démontrer sa capacité à tenir ses promesses.

Les coordonnées pour la communication sont fournies, y compris une adresse e-mail (swift_1@tutamail.com) et un identifiant Telegram (@swift_support). Une adresse email alternative (swift@onionmail.com) est proposée en cas d'absence de réponse dans les 24 heures. La victime est invitée à inclure sa pièce d'identité dans l'objet de l'e-mail à des fins d'identification.

La note se termine par de sévères avertissements contre le recours à l'aide d'entreprises de récupération de données, avertissant que ces entités pourraient exploiter la situation à des fins financières. De plus, il est fortement déconseillé à la victime de retarder le paiement et de ne pas supprimer ou modifier les fichiers cryptés afin d'éviter d'éventuelles complications lors du processus de décryptage.

Il est souligné que le paiement de rançons est fortement déconseillé, car non seulement cela perpétue un comportement criminel mais ne garantit pas non plus la réussite de la récupération des données. Les victimes sont invitées à explorer des méthodes alternatives pour faire face aux attaques de ransomwares qui n'impliquent pas de céder aux exigences des attaquants.

Comment protéger vos données et appareils contre les menaces de ransomware ?

Pour protéger leurs données et leurs appareils contre les menaces de ransomwares, les utilisateurs doivent adopter une approche globale de la cybersécurité. Voici cinq mesures de sécurité essentielles qui doivent être mises en œuvre sur tous les appareils :

Sauvegardes régulières : assurez-vous que des sauvegardes régulières des données critiques sont effectuées. Les sauvegardes doivent être stockées dans un environnement isolé, tel qu'un disque dur externe ou un service cloud sécurisé.

Automatisez le processus de sauvegarde autant que possible pour réduire le risque d’oubli de sauvegarder les informations critiques.

Logiciels et correctifs de sécurité à jour :

1. Gardez les logiciels des systèmes d'exploitation à jour avec les derniers correctifs de sécurité.
2. Installez régulièrement des mises à jour pour remédier aux vulnérabilités que les cybercriminels pourraient exploiter.
3. Activez les mises à jour automatiques pour garantir que les correctifs de sécurité sont appliqués rapidement.

Utilisez des solutions anti-malware robustes :

1. Installez un logiciel anti-malware réputé sur tous les appareils.
2. Assurez-vous que le logiciel de sécurité est régulièrement mis à jour pour détecter et vous défendre contre l'évolution des menaces de ransomware.
3. Exécutez des analyses régulières pour identifier et éliminer les logiciels malveillants potentiels sur l'appareil.

Faites preuve de prudence lors de l'utilisation du courrier électronique et d'Internet : méfiez-vous des courriers électroniques de phishing et des pièces jointes inconnues. Évitez de cliquer sur des liens douteux ou de télécharger des fichiers à partir de sources non vérifiées.

Utilisez des outils de filtrage des e-mails pour détecter et filtrer les e-mails potentiellement dangereux. Tenez-vous, vous et votre équipe, informés des signes de tentatives de phishing.

Mettre en œuvre l'éducation et la sensibilisation des utilisateurs : éduquer les utilisateurs sur les risques associés aux ransomwares et sur l'importance de l'hygiène de la cybersécurité. Promouvez des pratiques de mot de passe fortes, y compris l’utilisation de mots de passe uniques et l’authentification à deux facteurs (2FA) lorsque cela est possible.

Encouragez une culture de scepticisme, dans laquelle les utilisateurs vérifient la légitimité des demandes d’informations sensibles ou des téléchargements de fichiers inattendus.

En intégrant ces mesures de sécurité dans leurs pratiques habituelles, les utilisateurs peuvent améliorer considérablement leurs défenses contre les menaces de ransomware. Une approche multicouche combinant sauvegardes régulières, mises à jour logicielles, solutions de sécurité robustes, comportement en ligne prudent et éducation des utilisateurs peut collectivement créer une défense solide contre le paysage changeant des cybermenaces.

La demande de rançon déposée par SWIFT Ransomware se lit comme suit :

'~ SWIFT ~

What happened?
We encrypted and stolen all of your files.
We use AES and ECC algorithms.
Nobody can recover your files without our decryption service.

How to recover?
We are not a politically motivated group and we want nothing more than money.
If you pay, we will provide you with decryption software and destroy the stolen data.

What guarantees?
You can send us an unimportant file less than 1 MG, We decrypt it as guarantee.
If we do not send you the decryption software or delete stolen data, no one will pay us in future so we will keep our promise.

How to contact us?
Our email address: swift_1@tutamail.com
Our Telegram ID: @swift_support
In case of no answer within 24 hours, contact to this email: swift@onionmail.com
Write your personal ID in the subject of the email.

>
Your personal ID: - <<<<< >

Warnings!

Do not go to recovery companies, they are just middlemen who will make money off you and cheat you.
They secretly negotiate with us, buy decryption software and will sell it to you many times more expensive or they will simply scam you.

Do not hesitate for a long time. The faster you pay, the lower the price.

Do not delete or modify encrypted files, it will lead to problems with decryption of files.'

Le message délivré par SWIFT Ransomware en tant qu'image d'arrière-plan du bureau est :

'!!! SWIFT !!!

We encrypted and stolen all of your files.
Our email address: swift_1@tutamail.com
In case of no answer within 24 hours, contact to this email: swift@onionmail.com
Your personal ID:'