Infos

Mise à jour de CryptXXX : le potentiel de revenus augmente

Le ransomware CryptXXX a bénéficié d’une mise à jour importante qui en fait le ransomware le plus rentable actuellement en circulation. Jusqu’à présent le projet criminel qui était considéré comme la plus grande réussite en la matière était Locky.

Les chercheurs de Proofpoint ont enregistré la mise en circulation de la version 3.100 du ransomware le 26 mai ; d’après leur témoignage, CryptXXX s’est enrichi du module Stiller X qui permet de voler les identifiants de différentes applications, depuis les clients de casino en ligne jusqu’à Cisco VPN.

Dans un entretien accordé à Threatpost, Kevin Esptein, Vice-président de Proofpoint chargé du centre de réaction aux menaces Internet, a signalé que « le petit nouveau ressemble tout à fait à CryptXXX. Etant donné que TelsaCrypt est désormais hors jeu, il semblerait que Locky se trouve face à un adversaire de taille en matière de nombre d’infections et d’agressivité de la propagation.

D’après Kevin Epstein, la nouvelle version de CryptXXX est propagée par le groupe antérieur qui utilise depuis longtemps et avec succès le kit d’exploitation Angler. L’expert nous met en garde : « Il faut s’attendre à ce que le rayon d’action de CryptXXX augmente sensiblement Au bas mot, ils sont en mesure de garantir 50 000 infections de CryptXXX par période de 24 heures et les revenus quotidiens du ransomware sont compris entre 100 0000 et 200 000 dollars

CryptXXX se distingue de Locky au niveau de la méthode de propagation : ce dernier est souvent distribué via des campagnes de spam organisées à l’aides des botnets de Dridex. Les opérateurs de CryptXXX, de leur côté, préfèrent rediriger les victimes vers une page contenant des codes d’exploitation.

CryptXXX 3.100 recherche les fichiers cible non seulement sur les disques locaux et amovibles, mais il balaie également le port de passerelle 445 (utilisé pour les connexions client-serveur dans les réseaux locaux via le protocole SMB) afin de rechercher les « ressources partagées » dans le réseau, énumérer les fichiers dans chaque répertoire, puis les chiffre un à un » comme on peut le lire dans un billet du blog sur le site de Proofpoint

La sortie de la version 3.100 s’accompagne également d’une refonte du portail utilisé par les individus malintentionnés pour gérer les paiements. Ces modifications ont touché principalement l’interface utilisateur graphique et les fonctions liées au blocage de l’écran. « CryptXXX se distingue par des cycles de développement très rapide » souligne Kevin Epstein.

Ce ransomware est apparu pour la première fois sur les radars de Proofpoint le 15 avril ; à ce moment, il affichait une croissance soutenue. Cette expansion s’est ralentie après l’apparition de l’outil de déchiffrement ajouté par Kaspersky Lab le 26 avril à son utilitaire RannohDecryptor.

A en croire la description de RannohDecryptor sur le site du Support Technique de la société de sécurité de l’information, cet utilitaire est efficace contre les deux premières versions de CryptXXX. S’agissant de la troisième, il la reconnaît, mais il n’est pas en mesure de récupérer les fichiers. Autrement dit, cet outil n’est pas utile pour les cas d’infection impliquant CryptXXX 3.100.

Ce ransomware est dangereux non seulement parce qu’il chiffre les fichiers (il ajoute l’extension .crypt), mais également parce qu’il les copie, ce qui augmente le risque de vol d’identité. De plus, CryptXXX est capable de voler les bitcoins stockés sur le disque local.

Fonte: Threatpost

Mise à jour de CryptXXX : le potentiel de revenus augmente

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception