Ransom Cartel ransomware-as-a-service vient de REvil ?

18 novembre 2022
| Ein Kommentar
Brèves sur la cybersécurité B2B

Partager le post

Le fournisseur de sécurité informatique Palo Alto Networks et son équipe d'analyse des logiciels malveillants Unit42 rapportent de nouvelles découvertes sur "Ransom Cartel" - un fournisseur de ransomware en tant que service (RaaS) qui a fait surface pour la première fois à la mi-décembre 2021. Techniquement, il y a chevauchement avec le rançongiciel REvil.

Ce groupe de criminels effectue des attaques à double ransomware et partage plusieurs similitudes et chevauchements techniques avec le ransomware REvil. Le ransomware REvil a disparu quelques mois seulement avant l'émergence du cartel des ransomwares et un mois seulement après l'arrestation de 14 de ses membres présumés en Russie. Lorsque Ransom Cartel est apparu pour la première fois, il n'était pas clair s'il s'agissait d'un changement de nom de REvil ou d'un acteur de menace indépendant réutilisant ou imitant le code du ransomware REvil.

Le rançongiciel Ransom-Cartel en cours d'analyse

Palo Alto Networks et Unit42 présentent le ransomware Ransom-Cartel et une évaluation des liens possibles entre REvil et le ransomware Ransom-Cartel dans leur dernière analyse. En octobre 2021, c'est devenu calme autour des opérateurs REvil. Le site de fuite Web sombre de REvil est devenu indisponible. Vers la mi-avril 2022, des chercheurs en sécurité et des médias en cybersécurité ont signalé un nouveau développement chez REvil qui pourrait signifier le retour du gang.

En parallèle, le rançongiciel Palo Alto Networks a observé Cartel pour la première fois vers la mi-janvier 2022. Les chercheurs en sécurité de MalwareHunterTeam pensent que le groupe est actif depuis au moins décembre 2021. Ils ont observé la première activité connue de Ransom Cartel et ont trouvé plusieurs similitudes et chevauchements techniques avec le ransomware REvil. L'unité 42 a également observé des groupes de cartels de rançon ciblant des organisations, avec les premières victimes connues que nous avons observées en janvier 2022 aux États-Unis et en France. Ransom Cartel ciblait les organisations dans les secteurs verticaux suivants : éducation, fabrication, services publics et énergie.

Ransomware-as-a-Service en tant qu'entreprise

Les criminels derrière Ransom Cartel sont des acteurs proposant de vendre un accès réseau compromis. Leur motivation n'est pas de lancer eux-mêmes des cyberattaques, mais de vendre l'accès à d'autres acteurs de la menace. Compte tenu de la rentabilité des ransomwares, ces courtiers sont susceptibles d'avoir des relations de travail avec des groupes RaaS en fonction du montant qu'ils sont prêts à payer. L'unité 42 a vu des preuves que Ransom Cartel s'appuyait sur ces types de services pour obtenir un accès initial afin de fournir des ransomwares.

Conclusion des experts en sécurité

Ransom Cartel est l'une des nombreuses familles de ransomwares apparues en 2021. Alors que Ransom Cartel utilise le double chantage et certains des mêmes TTP souvent observés dans les attaques de ransomware, ce type de ransomware utilise des outils moins courants - DonPAPI, par exemple - jamais vus auparavant dans d'autres attaques de ransomware.

Les opérateurs de Ransom Cartel avaient clairement accès au code source original du ransomware REvil. Cependant, ils ne semblent pas avoir le moteur d'obscurcissement qui crypte ou masque les chaînes et les appels d'API. Par conséquent, les experts en sécurité supposent que les opérateurs du cartel de la rançon avaient une relation avec le groupe REvil avant de lancer leur propre opération.

D'autres évaluations du groupe et des informations techniques sont disponibles en ligne sur Unit42.

Plus sur PaloAltoNetworks.com

 

À propos des réseaux de Palo Alto

Palo Alto Networks, le leader mondial des solutions de cybersécurité, façonne l'avenir basé sur le cloud avec des technologies qui transforment la façon dont les gens et les entreprises travaillent. Notre mission est d'être le partenaire privilégié en matière de cybersécurité et de protéger notre mode de vie numérique. Nous vous aidons à relever les plus grands défis de sécurité au monde grâce à une innovation continue tirant parti des dernières avancées en matière d'intelligence artificielle, d'analyse, d'automatisation et d'orchestration. En fournissant une plate-forme intégrée et en renforçant un écosystème croissant de partenaires, nous sommes les leaders dans la protection de dizaines de milliers d'entreprises sur les clouds, les réseaux et les appareils mobiles. Notre vision est un monde où chaque jour est plus sûr que le précédent.

 

Articles liés au sujet

Rapport : 40 % de phishing en plus dans le monde

Le rapport actuel de Kaspersky sur le spam et le phishing pour 2023 parle de lui-même : les utilisateurs allemands sont à la recherche ➡ En savoir plus

BSI définit des normes minimales pour les navigateurs Web

Le BSI a révisé la norme minimale pour les navigateurs Web pour l'administration et a publié la version 3.0. Vous pouvez vous en souvenir ➡ En savoir plus

Un malware furtif cible les entreprises européennes

Les pirates informatiques attaquent de nombreuses entreprises à travers l'Europe avec des logiciels malveillants furtifs. Les chercheurs d'ESET ont signalé une augmentation spectaculaire des attaques dites AceCryptor via ➡ En savoir plus

Sécurité informatique : la base de LockBit 4.0 désamorcée

Trend Micro, en collaboration avec la National Crime Agency (NCA) du Royaume-Uni, a analysé la version non publiée en cours de développement. ➡ En savoir plus

MDR et XDR via Google Workspace

Que ce soit dans un café, un terminal d'aéroport ou un bureau à domicile, les employés travaillent dans de nombreux endroits. Cependant, cette évolution pose également des défis ➡ En savoir plus

Test : Logiciel de sécurité pour les terminaux et les PC individuels

Les derniers résultats des tests du laboratoire AV-TEST montrent de très bonnes performances de 16 solutions de protection établies pour Windows ➡ En savoir plus

L'IA sur Enterprise Storage combat les ransomwares en temps réel

NetApp est l'un des premiers à intégrer l'intelligence artificielle (IA) et l'apprentissage automatique (ML) directement dans le stockage principal pour lutter contre les ransomwares. ➡ En savoir plus

FBI : Internet Crime Report chiffre 12,5 milliards de dollars de dégâts 

L'Internet Crime Complaint Center (IC3) du FBI a publié son rapport 2023 sur la criminalité sur Internet, qui comprend des informations provenant de plus de 880.000 XNUMX personnes. ➡ En savoir plus

Nouvelles courtes
, , , , , ,