0

  • Votre panier est vide.

  • COMPTE

DeathRansom se transforme en un sérieux «ransomware» chiffrant les données

Certains articles de veille peuvent faire l'objet de traduction automatique.

Les acteurs de la menace derrière DeathRansom ont maintenant pris leur entreprise au sérieux. DeathRansom, le ransomware que tout le monde considérait auparavant comme une blague, crypte maintenant les fichiers pour de vrai.

DeathRansom devient un puissant ransomware

Des chercheurs de Fortinet ont analysé le malware DeathRansom et ont révélé qu’il avait maintenant commencé à chiffrer pour de vrai cette fois.

«DeathRansom», malgré son nom dangereux, le malware a longtemps été considéré comme une blague en raison de son mauvais fonctionnement. Le logiciel malveillant est apparu en ligne en novembre 2019 et n’a usurpé l’identité du ransomware qu’en ajoutant des extensions aux fichiers de données de la victime. Contrairement aux ransomwares classiques, DeathRansom n’a pas réussi à crypter correctement les données de la victime. Ainsi, il était toujours possible pour la victime de récupérer les données (uniquement si une victime pouvait réaliser l’échec du cryptage) en supprimant les extensions ajoutées.

Cependant, le Fortinet a révélé que DeathRansom s’est maintenant transformé en un ransomware sérieux depuis qu’il a commencé à chiffrer les données. Élaborer les détails techniques dans le première partie de leur rapport, ont-ils déclaré,

La nouvelle version de ce ransomware utilise une combinaison de l’algorithme Curve25519 pour le schéma d’échange de clés Elliptic Curve Diffie-Hellman (ECDH), Salsa20, RSA-2048, AES-256 ECB et un algorithme de bloc XOR simple pour crypter les fichiers.

Maintenant, comme il infecte un système cible, il crypte les données et place une note de rançon, comme tout autre ransomware. La note de rançon comprend un identifiant de verrouillage unique pour la victime qui est également présent dans le registre «HKCU Software Wacatac private» et encodé en base64.

Connexion possible avec d’autres campagnes de logiciels malveillants

Outre l’analyse technique, Fortinet a également traqué l’acteur menaçant derrière DeathRansom.

dans le deuxième partie de leur rapport, Fortinet a révélé que les opérateurs DeathRansom sont actifs depuis plusieurs années.

En bref, ils ont découvert que l’opérateur DeathRansom avait déjà infecté les utilisateurs avec des voleurs de mots de passe, tels que Vidar, Azorult, 1ms0rryStealer et Evrial, et des cryptominers tels que SupremeMiner.

Ils soupçonnent également un acteur menaçant avec un alias scat01 être derrière le ransomware DeathRansom reliant la Russie.

Actuellement, DeathRansom est sous distribution active via des campagnes de phishing par e-mail

Faites-nous part de vos réflexions dans les commentaires.

Voir aussi :

décembre 4, 2020

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles par catégories

S’abonner à la newsletter


Publicité

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)