Le logiciel malveillant Carbanak Banking refait surface avec de nouvelles tactiques de ransomware


26 décembre 2023RédactionLogiciels malveillants/cybercriminalité

Le malware bancaire connu sous le nom de Carbanak a été observé comme étant utilisé dans des attaques de ransomware avec des tactiques mises à jour.

« Le malware s’est adapté pour intégrer des fournisseurs d’attaques et des techniques permettant de diversifier son efficacité », a déclaré la société de cybersécurité NCC Group. dit dans une analyse des attaques de ransomwares survenues en novembre 2023.

« Carbanak est revenu le mois dernier via de nouvelles chaînes de distribution et a été distribué via des sites Web compromis pour usurper l’identité de divers logiciels commerciaux. »

Certains des outils usurpés incluent des logiciels professionnels populaires tels que HubSpot, Veeam et Xero.

Carbanak, détecté dans la nature depuis au moins 2014, est connu pour ses fonctionnalités d’exfiltration de données et de contrôle à distance. Initialement un malware bancaire, il a été utilisé par le syndicat de cybercriminalité FIN7.

WEBINAIRE À VENIR

De l’UTILISATEUR à l’ADMINISTE : découvrez comment les pirates informatiques prennent le contrôle total

Découvrez les tactiques secrètes utilisées par les pirates pour devenir administrateurs, comment les détecter et les bloquer avant qu’il ne soit trop tard. Inscrivez-vous à notre webinaire dès aujourd’hui.

Adhérer maintenant

Dans la dernière chaîne d’attaque documentée par NCC Group, les sites Web compromis sont conçus pour héberger des fichiers d’installation malveillants se faisant passer pour des utilitaires légitimes pour déclencher le déploiement de Carbanak.

Cette évolution intervient alors que 442 attaques de ransomware ont été signalées le mois dernier, contre 341 incidents en octobre 2023. Un total de 4 276 cas ont été signalés jusqu’à présent cette année, soit « moins de 1 000 incidents de moins que le total de 2021 et 2022 réunis » ( 5 198). »

Les données de l’entreprise montrent que les secteurs industriels (33 %), de consommation cyclique (18 %) et de santé (11 %) sont apparus comme les principaux secteurs ciblés, avec l’Amérique du Nord (50 %), l’Europe (30 %) et l’Asie (10 %). ) représentant la plupart des attaques.

Quant aux familles de ransomwares les plus fréquemment repérées, LockBit, BlackCat et Play ont contribué à 47 % (soit 206 attaques) des 442 attaques. Avec le démantèlement de BlackCat par les autorités ce mois-ci, il reste à voir quel impact cette décision aura sur le paysage des menaces dans un avenir proche.

« À un mois de l’année, le nombre total d’attaques a dépassé les 4 000, ce qui représente une augmentation considérable par rapport à 2021 et 2022. Il sera donc intéressant de voir si les niveaux de ransomwares continueront à grimper l’année prochaine », a déclaré Matt Hull, responsable mondial. a déclaré le responsable du renseignement sur les menaces chez NCC Group.

La hausse des attaques de ransomwares en novembre a également été corroborée par la société de cyber-assurance Corvus, qui a déclaré avoir identifié 484 nouvelles victimes de ransomwares publiées sur des sites de fuite.

« L’écosystème des ransomwares dans son ensemble s’est éloigné avec succès de QBot », a déclaré la société. dit. « Intégrer les exploits logiciels et les familles de logiciels malveillants alternatifs à leur répertoire s’avère payant pour les groupes de ransomwares. »

La cyber-sécurité

Bien que ce changement soit le résultat d’un démantèlement par les forces de l’ordre de l’infrastructure de QBot (alias QakBot), Microsoft a divulgué la semaine dernière les détails d’une campagne de phishing à faible volume distribuant le malware, soulignant les défis liés au démantèlement complet de ces groupes.

Le développement intervient alors que Kaspersky révélé Les mesures de sécurité du ransomware Akira empêchent l’analyse de son site de communication en déclenchant des exceptions lors de la tentative d’accès au site à l’aide d’un débogueur dans le navigateur Web.

La société russe de cybersécurité continue Souligné Exploitation par les opérateurs de ransomware de différentes failles de sécurité dans le pilote Windows Common Log File System (CLFS) – CVE-2022-24521, CVE-2022-37969, CVE-2023-23376, CVE-2023-28252 (scores CVSS : 7,8) – pour une élévation de privilèges.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.





ttn-fr-57