Luna in Rust : un nouveau groupe de ransomware utilisant un langage de programmation inter-plateforme fait surface
Les chercheurs de Kaspersky ont découvert un nouveau groupe de ransomware, dont l’activité vient davantage confirmer la tendance des acteurs du rançongiciel à se tourner vers des fonctionnalités inter-plateforme. Le groupe, surnommé Luna, utilise des ransomwares écrits en Rust, un langage de programmation déjà utilisé par les gangs BlackCat et Hive, entre autres. Il leur permet de facilement transférer les logiciels malveillants d'un système d'exploitation à un autre.
Cette découverte, ainsi que d'autres, figure dans le récent rapport de Kaspersky sur les logiciels criminels, disponible sur Securelist.
Déployant des logiciels malveillants écrits en Rust, Luna dispose de capacités inter-plateformes permettant au groupe de viser simultanément les systèmes Windows, Linux et ESXi. L'annonce sur le dark web, repérée par Kaspersky, indique que Luna ne travaille qu'avec des affiliés russophones. Par ailleurs, la note de rançon codée en dur dans le binaire contient des fautes d'orthographe, laissant conclure que le groupe pourrait être russophone. Luna ayant été découvert récemment, il existe encore peu de données sur sa victimologie, mais Kaspersky suit de très près son activité.
Luna s'inscrit dans la tendance récente des ransomwares inter-plateformes, des langages comme Golang et Rust ayant été largement utilisés par les gangs modernes de ransomwares au cours de l'année écoulée. Parmi les exemples notables figurent BlackCat et Hive, ce dernier utilisant à la fois Go et Rust. Ces langages sont indépendants de la plate-forme, de sorte que les ransomwares qui les utilisent peuvent facilement être transférés d'une plate-forme à l'autre. Les attaques peuvent alors viser plusieurs systèmes d'exploitation en même temps.
Une autre enquête récemment menée par Kaspersky permet de mieux comprendre l'activité de l'acteur de ransomware Black Basta. Ce groupe exécute une nouvelle variante de ransomware écrite en C++ et révélée pour la première fois en février 2022. Depuis lors, Black Basta a réussi à attaquer plus de 40 victimes, principalement aux États-Unis, en Europe et en Asie.
Comme le montre l'enquête de Kaspersky, Luna et Black Basta ciblent tous deux les systèmes ESXi, ainsi que Windows et Linux, ce qui représente une autre tendance des ransomwares en 2022. ESXi est un hyperviseur qui peut être utilisé indépendamment sur n'importe quel système d'exploitation. De nombreuses entreprises ayant migré vers des machines virtuelles basées sur ESXi, il est devenu plus facile pour les attaquants de chiffrer les données des victimes.
"Les tendances que nous avions esquissées plus tôt dans l’année semblent gagner du terrain. Nous voyons de plus en plus de gangs utiliser des langagesinter-plateforme pour écrire leurs ransomwares. Cela leur permet de déployer leurs logiciels malveillants sur une variété de systèmes d'exploitation. La hausse du nombre d’attaques sur les machines virtuelles ESXi est alarmante et nous nous attendons à ce que de plus en plus de familles de ransomware déploient la même stratégie", commente Jornt van der Wiel, expert en sécurité chez Kaspersky.
Pour en savoir plus sur les groupes de ransomwares émergents, consultez Securelist.
Pour vous protéger ainsi que votre entreprise des attaques de ransomware, Kaspersky recommande de suivre ces règles :
● N'exposez pas les services de bureau à distance (tels que Remote Desktop Protocol) aux réseaux publics, sauf en cas de nécessité absolue, et utilisez toujours des mots de passe forts pour ces services.
● Concentrez votre stratégie de défense sur la détection des mouvements latéraux et l'exfiltration de données vers Internet. Portez une attention particulière au trafic sortant pour détecter les connexions des cybercriminels.
● Utilisez des solutions telles que Kaspersky Endpoint Detection and Response Expert et Kaspersky Managed Detection and Response, qui peuvent aider à identifier et arrêter l'attaque à ses débuts, avant que les attaquants n'atteignent leur objectif.
● Pour protéger votre environnement d’entreprise, formez vos employés. Des cours de formation dédiés, tels que ceux proposés par la Kaspersky Automated Security Awareness Platform, peuvent vous y aider.
● Consultez les derniers renseignements sur les menaces pour rester au courant des tactiques, techniques et procédures (TTP) réellement utilisées par les acteurs de la menace. Le portail Kaspersky Threat Intelligence est un point d’accès unique de renseignements sur les menaces, fournissant des données sur les cyberattaques et des informations recueillies par notre équipe depuis plus de 25 ans.
Afin d'aider les entreprises à mettre en place des défenses efficaces en ces temps de turbulence, Kaspersky a annoncé l'accès gratuit à des informations indépendantes, mises à jour continuellement, et provenant du monde entier sur les cyberattaques et les menaces en cours. Demandez l'accès à cette offre ici
Luna in Rust : un nouveau groupe de ransomware utilisant un langage de programmation inter-plateforme fait surface
Kaspersky
Articles connexes Communiqués de presse
Selon Kaspersky, la moitié des appareils pris pour cible par des infostealers sont infectés par le logiciel malveillant Redline
D’après Kaspersky Digital Footprint Intelligence, plus de la moitié des appareils visés par des attaques de vol de mots de passe en 2023, l’ont été par le logiciel malveillant Redline (55 %). Bien que le marché des logiciels malveillants continue de croître avec de nouveaux acteurs tels que Lumma, sur les trois dernières années, Redline reste le logiciel malveillant de vols de données le plus utilisé par les cybercriminels.Lire la suite >53 % des appareils infectés par des logiciels malveillants voleurs de données sont des appareils d'entreprise, selon Kaspersky
Selon l’équipe Digital Footprint Intelligence de Kaspersky, la proportion d'appareils d'entreprise infectés par des infostealers a augmenté d'un tiers depuis 2020. 21 % des employés dont les appareils ont été infectés ont exécuté le logiciel malveillant à plusieurs reprises. En réponse à la menace croissante que représentent les info-stealers en entreprise, les experts de Kaspersky sensibilisent au phénomène et proposent des stratégies pour atténuer les risques associés.Lire la suite >Les entreprises investissent plus de 100.000 $ par an pour renforcer les compétences de leurs équipes de cybersécurité
Dans sa dernière étude, Kaspersky révèle que plus de 70 % des entreprises consacrent plus de 100 000 $ (environ 92 000 €) par an pour des formations supplémentaires destinées à leurs spécialistes en cybersécurité afin de maintenir leurs compétences à jour. Cependant, les entreprises interrogées soulignent également un manque de cours pertinents concernant les tendances cyber émergentes : le marché de la formation n’est actuellement pas suffisamment fourni, et les formations choisies n’apportent pas toujours le résultat escompté.Lire la suite >