Certains articles de veille peuvent faire l'objet de traduction automatique.
Ryuk a maintenant émergé sous une nouvelle forme. En bref, la nouvelle souche de Ryuk Stealer présente des propriétés avancées qui lui permettent de cibler les secteurs gouvernementaux et militaires.
Ryuk Malware Stealer réorganisé
Des chercheurs du MalwareHunterTeam ont découvert un nouveau malware Ryuk Stealer avec des ajouts avancés. La nouvelle souche est capable de viser des cibles de premier plan telles que les secteurs militaire, gouvernemental, financier et bancaire.
Quelqu’un se souvient-il de ce « Ryuk Stealer »? Juste parce que j’ai un nouvel échantillon. J’ai déjà jeté un coup d’œil rapide et j’ai constaté que:
– ils n’ont toujours pas supprimé les références Ryuk (?)
– la charge utile (le voleur lui-même) a toujours la même icône (utile)
– ils ont ajouté environ 20 nouveaux mots clés…
cc @VK_Intel https://t.co/LacWzA06TV– MalwareHunterTeam (@malwrhunterteam) 24 janvier 2020
Alors que l’ancien malware Ryuk Stealer ciblait spécifiquement les fichiers Word et Excel, la nouvelle version a plus de cibles. Selon Vitali Kremez, il cible désormais sept types de fichiers, y compris plus de fichiers Word et Excel (autres que docx et xlsx), pdf, jpg, code source C ++ et crypto-wallets.
Lorsque le voleur détecte un fichier avec une extension reconnue, il le scanne alors pour la présence de certains mots-clés.
En fait, ne faites pas confiance aux outils automatisés pour ces choses.
?
Voici donc les 2 listes (oui, 2 listes) de ce nouvel échantillon extraites manuellement. Peut-être que certains espaces sont manquants (ou à l’origine faux dans l’échantillon?), Mais s’en moque, alors profitez-en tel quel … pic.twitter.com/dUMZ62TmSQ– MalwareHunterTeam (@malwrhunterteam) 24 janvier 2020
Après avoir trouvé le document souhaité, il télécharge ensuite le fichier sur le site FTP des attaquants.
Comme le montre la liste de mots ciblés qui comprend des mots tels que «SWIFT», «IBAN», «radar», «tactique», EDGAR »,« fil d’actualité »,« fédéral »,« bureau »et« enquête », le nouveau voleur vise clairement à voler des informations sensibles aux institutions gouvernementales, militaires et financières.
Il se concentre également spécifiquement sur les informations personnelles des victimes. Il comprend même des noms communs, tels que «Liam», «Olivia», «James», «Emma», «Noah», «Sophia», «William», «Isabella» et «Logan». Fait intéressant, tous ces noms sont inclus dans le «Top 5 des noms de chacune des 100 dernières années» liste par le Département américain de la sécurité sociale.
Qui est derrière le nouveau voleur?
Cependant, l’identité du ou des acteurs menaçants derrière ce malware n’est pas claire. Vitali Kremez a déclaré à Bleeping Computer qu’ils pourraient être les mêmes acteurs qui ont conçu Ryuk.
C’est probablement le même acteur ayant accès à la version précédente de Ryuk qui a réutilisé la partie de code pour ce voleur.
De plus, la distribution de ce malware dans la nature et son éventuel regroupement avec d’autres malwares / ransomwares ne sont pas non plus clairs. Il était seulement possible de détecter ce voleur comme étant Ryuk en raison des artefacts restants.
? Identique aux artefacts Ryuk et ransomware laissés là-bas:
1⃣ «RyukReadMe.txt»
2⃣ « UNIQUE_ID_DO_NOT_REMOVE »
3⃣ « readme »? Il semble que le #crimeware groupe déploie cet outil de voleur après-#ransomware déploiement pour récupérer les données sensibles de l’hôte.? pic.twitter.com/9NcDTesFdv
– Vitali Kremez (@VK_Intel) 24 janvier 2020
Par conséquent, les internautes doivent rester extrêmement prudents face aux e-mails de phishing, aux pièces jointes suspectes, aux connexions à distance, et doivent veiller à maintenir leurs systèmes à jour pour éviter d’éventuels incidents.
Voir aussi :
Poster un commentaire