Si vous pensiez que les logiciels de rançon obligeant les gens à faire de bonnes actions étaient bizarres, attendez que WannaFriendMe vous le dise. Pour obtenir le décrypteur de cette souche de ransomware récemment découverte (Ouvre dans un nouvel onglet), les victimes doivent acheter un pass de jeu dans la boutique Roblox Game Pass.
Roblox est une plate-forme de jeu où les utilisateurs peuvent créer et jouer à des jeux. Les créateurs de jeux peuvent monétiser leurs créations en demandant des laissez-passer avant de jouer. Ces pass peuvent être achetés avec la devise native de la plateforme, Robux.
Dans la note de rançon envoyée aux victimes, il est indiqué qu'elles doivent acheter un pass de jeu spécifique, qui coûte 1700 20 Robux, soit environ XNUMX €. Après avoir acheté le pass de jeu, ils doivent contacter une adresse e-mail spécifique avec leur nom d'utilisateur et une capture d'écran pour prouver l'achat.
Le chaos? Ou Ryuk ?
Les attaquants avertissent les victimes de ne pas supprimer la passe de jeu, car cela invaliderait le processus.
Si vous pensiez que 20 € était une petite monnaie par rapport à d'autres opérateurs de logiciels malveillants (ouvre un nouvel onglet) dont les demandes atteignent des dizaines de milliers de dollars, gardez à l'esprit que les cibles de cette campagne sont principalement los jugadores.
Un autre point intéressant est que les acteurs de la menace utilisent le rançongiciel Chaos, qui tente de se faire passer pour Ryuk. À la mi-2021, quelqu'un a commencé à vendre un générateur de ransomware Chaos, permettant à presque n'importe qui avec quelques dollars supplémentaires de créer sa propre souche de ransomware.
La principale différence entre Chaos et Ryuk est que le premier est connu pour écraser des fichiers volumineux avec du charabia.
En d'autres termes, une fois cryptés, tous les fichiers de plus de 2 Mo ne peuvent jamais être récupérés. C'est un fait connu pour Chaos, et cela pourrait rebuter certaines personnes qui envisageaient de payer la note de rançon.
Les chercheurs qui ont découvert la campagne, MalwareHunterTeam, ont déclaré que le générateur de ransomware Chaos se fait passer pour Ryuk par défaut et utilise l'extension .ryuk pour tous les fichiers cryptés.
Via : BleepingComputer (Ouvre dans un nouvel onglet)