Un opérateur de ransomware a créé un faux site de l'une de ses victimes et l'a utilisé pour publier du contenu propriétaire volé lors d'une attaque de ransomware (ouvre dans un nouvel onglet).
L'approche est une nouveauté que certains spécialistes de la sécurité voient comme un moyen d'armer les clients du service aux victimes.
Des acteurs de la menace connus sous le nom d'ALPHV (également connu sous le nom de BlackCat), ont récemment lancé une attaque de ransomware réussie contre une société de services financiers, prenant XNUMX Go de documents confidentiels, y compris des notes du personnel, des formulaires de paiement, des données sur les employés, des actifs et des dépenses, des données financières pour les associés, numérisation de passeport, etc.
Domaines typifiés
Les menaces de divulguer les données au public n'ont évidemment pas fonctionné sur l'entreprise victime, qui a manifestement choisi de ne pas payer la demande de rançon.
Cependant, les opérateurs de ransomware divulguent souvent des données volées sur le dark web, où la plupart sont gratuites pour les autres criminels et les spécialistes de la sécurité. Cette fois, ALPHV a créé un site sur un domaine qui a échoué, qui ressemble et se sent pratiquement identique au site légitime de la victime.
S'adressant à BleepingComputer, l'analyste des menaces d'Emsisoft, Brett Callow, a déclaré que l'exfiltration de données via un domaine de faute de frappe pourrait être une approche plus dommageable : « Je ne serais pas du tout surpris si Alphv avait essayé d'armer un service commercial pour les clients en les dirigeant vers ce site Web. » dit Brett Callow.
Nous devrons attendre et voir quels seraient les résultats de cette approche, mais il est prudent d'accepter que si elle réussit, nous allons voir beaucoup plus de sites avec des fautes de frappe qui divulguent des données d'entreprise propriétaires.
Les ransomwares sont une menace en constante évolution. Au début, les attaquants chiffreraient simplement chaque fichier sur les appareils cibles et exigeraient un paiement en bitcoins.
Lorsque les entreprises ont commencé à intégrer des copies de sauvegarde, les criminels ont commencé à voler des données sensibles et ont menacé de les divulguer en ligne. Dans certains cas, cette attaque est également suivie d'une attaque par déni de service distribué (DDoS) qui perturbe le front-end, comme l'intimidation et la persuasion par téléphone et par courrier.
Via : BleepingComputer (s'ouvre dans un nouvel onglet)