Un acteur malveillant inconnu utilise une variante du rançongiciel Yashma pour cibler diverses entités dans les pays anglophones, la Bulgarie, la Chine et le Vietnam au moins depuis le 4 juin 2023.
Cisco Talos, dans un nouvel article, a attribué l’opération avec une confiance modérée à un adversaire d’origine vietnamienne probable.
« L’auteur de la menace utilise une technique inhabituelle pour délivrer la note de rançon », a déclaré le chercheur en sécurité Chetan Raghuprasad. « Au lieu d’intégrer les chaînes de note de rançon dans le binaire, ils téléchargent la note de rançon à partir du référentiel GitHub contrôlé par l’acteur en exécutant un fichier batch intégré. »
Yashma, décrit pour la première fois par l’équipe de recherche et de renseignement de BlackBerry en mai 2022, est une version renommée d’une autre souche de ransomware appelée Chaos. Un mois avant son émergence, le générateur de rançongiciel Chaos a fait l’objet d’une fuite dans la nature.
Un aspect notable de la note de rançon est sa ressemblance avec le célèbre rançongiciel WannaCry, peut-être dans le but d’obscurcir l’identité de l’auteur de la menace et de confondre les efforts d’attribution. Bien que la note mentionne une adresse de portefeuille à laquelle le paiement doit être effectué, elle ne précise pas le montant.
La divulgation intervient alors que la société de cybersécurité a déclaré que les fuites de code source et de constructeurs de ransomwares entraînent l’accélération de nouvelles variantes de ransomwares, entraînant ainsi davantage d’attaques.
« Les constructeurs de ransomwares ont généralement une interface utilisateur qui permet aux utilisateurs de choisir les fonctionnalités sous-jacentes et de personnaliser les configurations pour créer un nouvel exécutable binaire de ransomware sans exposer le code source ni avoir besoin d’installer un compilateur », a souligné la société.
« La disponibilité de tels constructeurs permet aux acteurs novices de générer leurs propres variantes de ransomware personnalisées. »
Le développement fait également suite à un pic majeur d’attaques de ransomwares, Malwarebytes enregistrant jusqu’à 1 900 incidents au cours de l’année écoulée aux États-Unis, en Allemagne, en France et au Royaume-Uni, principalement alimentés par « l’ascension du groupe Cl0p – qui a efficacement exploité vulnérabilités zero-day pour amplifier ses attaques. »
Dans un rapport connexe, Akamai a constaté qu’une augmentation de l’utilisation des failles de sécurité zero-day et one-day a entraîné une augmentation de 143 % du nombre de victimes de ransomwares au premier trimestre 2023 par rapport à la même période l’année dernière.
« Le groupe de rançongiciels Cl0p développe de manière agressive des vulnérabilités zero-day, multipliant le nombre de victimes par 9 d’une année sur l’autre », a déclaré la société. « Les victimes de plusieurs attaques de rançongiciels étaient plus de 6 fois plus susceptibles de subir la deuxième attaque dans les trois mois suivant la première attaque. »
Mais dans ce qui est un signe supplémentaire de l’évolution du paysage des menaces, Trend Micro a divulgué les détails d’une attaque de rançongiciel TargetCompany (alias Mallox ou Xollam) qui utilisait une itération d’un moteur d’obfuscateur entièrement indétectable (FUD) appelé BatCloak pour infecter les systèmes vulnérables à distance. accéder aux chevaux de Troie comme Remcos RAT et maintenir une présence furtive sur les réseaux ciblés.
« Par la suite, le Remcos RAT reprendra sa routine finale en téléchargeant et en déployant le rançongiciel TargetCompany toujours enveloppé dans un packer FUD », a déclaré la société.
« L’utilisation de logiciels malveillants FUD limite déjà la plupart des solutions disponibles pour cette tactique, encore plus pour les technologies prêtes à l’emploi susceptibles d’être exposées à d’autres attaques (pas seulement les ransomwares). Cet ensemble de packers ne sera probablement pas le seul à être développé. dans le futur proche. »
