MegaCortex, le ransomware qui menace de publier vos données en plus de les chiffrer

26

Un nouveau mode de fonctionnement particulièrement vicieux pourrait émerger dans le monde des ransomwares. Les chercheurs en sécurité de MalwareHunterTeam ont mis la main sur une nouvelle version de MegaCortex, un ransomware découvert en mai dernier et qui vise avant tout les entreprises et les organisations professionnelles.
Jusqu'à présent, c'était plutôt traditionnel: il était installé via un cheval de Troie tel que Emotet ou Qakbot, puis il cryptait les données des postes de travail et demandait une rançon.

Mais la dernière version ajoute quelques subtilités importantes, car la précision BleepingComputer. MegaCortex non seulement chiffre maintenant les données, mais modifie également le mot de passe de la machine Windows. Une fois la session verrouillée, l'utilisateur ne pourra plus se connecter. Mais la grande surprise réside dans le message de la rançon. Les pirates disent qu'ils ont "Téléchargé les données dans une zone sécurisée". Et ils seraient prêts à publier ces données si la victime ne payait pas. En cas de paiement, les données seraient évidemment détruites.

À l'heure actuelle, nous ne savons pas si cette menace est réelle ou s'il s'agit d'un bluff. Techniquement, la menace peut être appliquée. Grâce au cheval de Troie, les pirates ont accès à la machine avant d’installer le logiciel ransomware. Mais un tel transfert de données est risqué, car il peut être détecté au niveau des flux du réseau, surtout si le volume est important. Il convient donc que les pirates disposent d’un canal d’exfiltration suffisamment discret, donc sophistiqué.

Les sauvegardes deviendraient inutiles

Si cette menace se révèle, le cauchemar du ransomware – qui est déjà à un niveau très élevé – s'intensifiera considérablement. Une telle menace rendrait la protection principale contre ces logiciels malveillants, à savoir les sauvegardes de données, totalement inefficace.
La société qui décide de ne pas payer et de restaurer ses données serait confrontée à un scandale d'autant plus grave que les informations divulguées sont sensibles. Un hôpital peut difficilement risquer de publier les données des patients. Une banque pourrait fermer ses portes si les données financières de ses clients étaient sur le Web. C'est inextricable.

Les experts en sécurité redoutent une telle situation depuis un certain temps.

"La prochaine évolution du logiciel ransomware est probablement le cryptage des données avec le vol de données, Charles Carmakal, vice-président des services stratégiques chez FireEye, a déclaré lors de la conférence CyberDefense Summit 2019 en octobre dernier.
Pour les entreprises, ce serait une histoire totalement différente à gérer, car les fuites de données sensibles doivent être notifiées et peuvent causer de graves dommages à l'entreprise. Mais à ce jour, nous n’avons encore jamais vu un tel scénario. "

Ce nouveau cap peut avoir été franchi.

La source : BleepingComputer