Le ransomware Knight est distribué dans de faux courriels de plainte de Tripadvisor

Les deux versions de la campagne utilisent un fichier HTML très basique qui semble avoir été créé avec Microsoft Word.

CISA : Nouvelle porte dérobée de Whirlpool utilisée dans les hacks de Barracuda ESG

L’agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a lancé une alerte concernant une nouvelle porte dérobée utilisée par des pirates pour compromettre les dispositifs Barracuda Email Security Gateway (ESG).

Cette porte dérobée, baptisée « Divergent », a été découverte par la CISA au cours d’une enquête sur des attaques récentes contre des agences fédérales. L’agence indique que Divergent est similaire à une autre porte dérobée, connue sous le nom de « Taoist », qui a été utilisée dans des attaques contre des dispositifs Barracuda ESG l’année dernière.

Divergent est un cheval de Troie d’accès à distance (RAT) qui donne aux attaquants le contrôle total des appareils compromis. Une fois installé, le RAT peut être utilisé pour voler des données, installer d’autres logiciels malveillants ou désactiver les fonctions de sécurité de l’appareil.

La CISA indique que Divergent est distribué par le biais d’e-mails de phishing contenant une pièce jointe ou un lien malveillant. L’agence conseille aux utilisateurs de faire preuve de prudence lorsqu’ils ouvrent des pièces jointes ou cliquent sur des liens provenant de sources inconnues.

La CISA recommande également aux organisations utilisant des dispositifs Barracuda ESG de mettre à jour la dernière version du micrologiciel et d’appliquer tous les correctifs de sécurité disponibles. Les organisations devraient également envisager de désactiver les capacités d’accès à distance si elles ne sont pas nécessaires.- Une nouvelle campagne de ransomware utilise une pièce jointe PDF pour se propager.
– Le PDF utilise la technique d’hameçonnage « Browser-in-the-Browser » de Mr. D0x pour ouvrir une fausse fenêtre de navigateur qui semble provenir de TripAdvisor.
– En cliquant sur le bouton « Lire la plainte », vous téléchargez un fichier Excel XLL qui, une fois ouvert, cryptera les fichiers de votre ordinateur, à moins que le fichier ne porte le drapeau « Mark of the Web » (MoTW).
– La note de rançon de cette campagne demande l’envoi de 5 000 $ à une adresse Bitcoin répertoriée et contient également un lien vers le site Tor de Knight.
– Cependant, toutes les notes de rançon de cette campagne vues par BleepingComputer utilisent la même adresse Bitcoin ’14JJfrWQbud8c8KECHyc9jM6dammyjUb3Z’, ce qui rendrait impossible pour l’acteur de la menace de déterminer quelle victime a payé une rançon.
– Par conséquent, il est fortement conseillé de ne pas payer de rançon dans le cadre de cette campagne, car il y a de fortes chances que vous ne receviez pas de décrypteur.