Devis de remise multi-licences
Données concernant les menaces Ransomware Ransomware Run (Makop)

Ransomware Run (Makop)

Par Mezo en Ransomware
Se traduisent par :

La protection des environnements numériques contre les logiciels malveillants est devenue une responsabilité cruciale pour les particuliers comme pour les organisations. Les attaques de type ransomware ne sont plus de simples nuisances opportunistes ; ce sont des attaques calculées et complexes, conçues pour chiffrer, extorquer et divulguer publiquement des informations sensibles. Parmi ces menaces sophistiquées, Run Ransomware, une souche malveillante, est actuellement surveillée par les chercheurs en sécurité. Ce logiciel malveillant illustre l'évolution des tactiques des groupes cybercriminels contemporains.

Run Ransomware : une variante de la famille Makop

Des analystes en sécurité ont identifié le ransomware Run comme appartenant à la famille Makop, un groupe connu de logiciels malveillants de chiffrement de fichiers associés à des techniques d'extorsion agressives. Cette menace a été découverte lors d'une enquête plus vaste sur les campagnes de ransomware actives et émergentes.

Une fois exécuté, le ransomware Run lance un processus de chiffrement systématique ciblant les fichiers de l'utilisateur sur le système compromis. Après le chiffrement des données, il modifie les noms de fichiers en y ajoutant trois éléments distincts : un identifiant unique de la victime, une adresse e-mail de contact et l'extension « .run ». Par exemple, un fichier comme « 1.png » devient « 1.png.[2AF20FA3].[runandpay@outlook.com].run ». Cette structure de renommage sert à la fois de marqueur de compromission et de tactique de pression psychologique, rendant l'infection immédiatement visible.

En plus du chiffrement des fichiers, le ransomware modifie le fond d'écran du système pour renforcer le message d'attaque et dépose une note de rançon intitulée « +README-WARNING+.txt ». Ces actions sont conçues pour garantir que la victime ne puisse pas ignorer l'intrusion.

Tactiques d’extorsion et pression psychologique

La demande de rançon est claire et menaçante. Elle affirme que l'ordinateur de la victime est verrouillé, que ses fichiers sont chiffrés et que des données sensibles ont été volées. Cette combinaison de chiffrement et d'exfiltration de données révèle une stratégie de double extorsion, une technique de plus en plus utilisée par les auteurs de rançongiciels.

Les victimes sont invitées à contacter les pirates à l'adresse électronique fournie, « runandpay@outlook.com », en indiquant leur identifiant unique. Le message insiste sur l'urgence de la situation en proposant une rançon réduite en cas de prise de contact dans les 24 heures. Il menace également de diffuser publiquement les fichiers volés en cas de refus de paiement. De plus, il avertit que l'outil de déchiffrement sera supprimé si la victime refuse de payer, ce qui accroît le risque perçu de perte définitive de données.

En réalité, le paiement d'une rançon ne garantit pas la récupération des fichiers. Nombre de victimes reçoivent des outils de déchiffrement non fonctionnels ou sont tout simplement ignorées après le paiement. Sans accès aux clés de déchiffrement privées des pirates, la restauration des fichiers chiffrés est généralement impossible, sauf en présence de sauvegardes fiables.

Vecteurs d’infection et modes de transmission

Run Ransomware utilise des canaux de distribution courants mais très efficaces, fréquemment employés dans le paysage des ransomwares. L'infection survient généralement après une interaction avec un contenu malveillant ou trompeur. Les cybercriminels dissimulent souvent leurs charges utiles dans des fichiers d'apparence légitime ou courante.

Les voies d'infection courantes comprennent :

  • Courriels d'hameçonnage contenant des pièces jointes ou des liens malveillants
  • Faux messages d'assistance technique et arnaques par ingénierie sociale
  • Logiciels piratés, cracks et générateurs de clés
  • Sites Web compromis ou frauduleux
  • Réseaux de partage de fichiers peer-to-peer
  • Publicités malveillantes et kits d'exploitation
  • Clés USB infectées
  • Exploitation des vulnérabilités logicielles non corrigées

Les fichiers malveillants peuvent se présenter sous forme de programmes exécutables, de scripts, d'archives compressées (ZIP ou RAR) ou de documents courants tels que des fichiers Word, Excel et PDF. Les logiciels obsolètes augmentent considérablement l'exposition, car les cybercriminels exploitent souvent des vulnérabilités connues pour obtenir un accès initial.

L’importance d’un retrait immédiat

Une fois infiltré dans un système, un ransomware doit être supprimé au plus vite. S'il reste actif, il peut continuer à chiffrer les fichiers nouvellement créés ou connectés, y compris ceux situés sur des lecteurs réseau mappés ou des espaces de stockage partagés. En entreprise, une simple compromission peut transformer un poste de travail isolé en un incident réseau de grande ampleur.

L'isolement rapide du périphérique infecté du réseau peut empêcher la propagation latérale. Cependant, sa suppression seule ne déchiffre pas les fichiers affectés ; elle ne fait que stopper toute activité malveillante ultérieure.

Renforcement de la défense : pratiques de sécurité essentielles

Une défense efficace contre les ransomwares de type « run » et les menaces similaires exige une stratégie de sécurité multicouche. Bien qu’aucun système ne soit totalement immunisé, les bonnes pratiques suivantes permettent de réduire considérablement l’exposition aux risques :

  • Effectuez des sauvegardes régulières hors ligne ou dans le cloud et vérifiez leur intégrité.
  • Maintenez vos systèmes d'exploitation et applications à jour avec les derniers correctifs de sécurité.
  • Utilisez des solutions de protection des terminaux réputées avec détection des menaces en temps réel.
  • Désactivez les macros dans les documents bureautiques, sauf en cas d'absolue nécessité.
  • Évitez de télécharger des logiciels piratés ou non officiels.
  • Soyez prudent avec les courriels non sollicités, surtout ceux contenant des pièces jointes ou des demandes urgentes.
  • Limiter les privilèges d'administrateur afin de restreindre les modifications non autorisées du système.
  • Mettre en œuvre la segmentation du réseau dans les environnements organisationnels.

Au-delà des contrôles techniques, la sensibilisation des utilisateurs demeure un pilier de la résilience en matière de cybersécurité. Former les individus à reconnaître les tentatives d'hameçonnage et les téléchargements suspects peut réduire considérablement les taux d'infection.

Évaluation finale

Le ransomware Run illustre la sophistication croissante des opérations de ransomware modernes. Par le chiffrement, le vol de données et la manipulation psychologique, il contraint les victimes à payer rapidement. Son appartenance à la famille de ransomwares Makop souligne la nature structurée et évolutive de ces organisations criminelles.

La récupération des données sans sauvegardes est souvent impossible, et le paiement d'une rançon reste un pari risqué. La protection la plus fiable repose sur une défense proactive : stratégies de sauvegarde robustes, mises à jour logicielles régulières, protection renforcée des terminaux et comportements responsables des utilisateurs. Face aux menaces actuelles, la préparation n'est pas une option, elle est essentielle.

 

System Messages

The following system messages may be associated with Ransomware Run (Makop):

----------------------------------------------------

WARNING! AVVERTIMENTO! WARNUNG!

----------------------------------------------------

Your computer is locked, your data are encrypted and stolen.

Contact us immediately to pay and decrypt your files.

The decryption price is lower for the first 24 hours.

If you don't pay for decryption after your initial contact, the files will be published online.

The decoder will be deleted if you don't pay.

----------------------------------------------------

Email: runandpay@outlook.com

----------------------------------------------------

YOUR ID:

Tendance

Campagne d'attaque par ransomware Medusa

Menace persistante avancée (APT), Ransomware
Le groupe de cybercriminels Lazarus Group, également connu sous les noms de Diamond Sleet et Pompilus, et lié à la Corée du Nord, a été observé en train de déployer le ransomware Medusa lors d'une attaque contre une organisation non identifiée au Moyen-Orient. Des chercheurs en sécurité ont par ailleurs identifié une tentative d'intrusion infructueuse menée par ce même groupe contre un...

Le plus regardé

Chargement...