Et maintenant, un ransomware lié à un site de massages sensuels

Dernièrement, une cyber-attaque opérée par un ransomware récent connu sous le nom d’Ever101 a ciblé une entreprise israélienne. Les malfaiteurs ont notamment visé le parc informatique de la compagnie et ont chiffré tous les ordinateurs.  

Les sociétés israéliennes de cyber-sécurité Profero et Security Joes ont été chargées de répondre à la cyber-attaque. Dans un rapport qu’elles ont publié, on peut lire qu’Ever101 pourrait être un variant des ransomware Everbe ou Paymen45. L’on sait aussi que lors du cryptage des fichiers des ordinateurs, les pirates ont placé l’extension « .ever101 » à tous les fichiers et ont laissé une sorte de note dénommée  « !=READMY= !.txt » dans chaque dossier. En gros, cette note menaçait l’entreprise israélienne de diffuser les données si elle n’acceptait pas de payer la rançon.  

Des serviettes et des bougies de massage
Crédits Pixabay

Selon les informations, au cours de leur investigation, les responsables en cyber-sécurité ont pu pister une partie de la rançon et cela les a menés vers un site web qui fait la promotion de massages sensuels.

Les outils utilisés par les malfaiteurs

Lorsque les responsables de la cyber-sécurité ont examiné l’une des machines touchées, ils ont découvert que le dossier « Musique » contenait divers outils que les pirates avaient utilisés lors de l’attaque.

Cette découverte leur a permis d’en savoir plus sur les tactiques, les techniques et les procédures utilisées par les malfaiteurs. Comme on peut le voir dans le rapport des experts, le dossier contenait le code binaire du ransomware, ainsi que d’autres fichiers dont certains étaient chiffrés.

Les enquêteurs pensent que ces outils ont été utilisés pour recueillir des informations et pour se propager sur le réseau.

Parmi les outils connus utilisés par les pirates, on compte par exemple « xDedicLogCleaner » qui supprime tous les journaux de bord des événements Windows, ceux du système, ainsi que le dossier « temp ». Il y avait aussi « PH64.exe » qui est une version 64 bits du programme Process Hacker.

Parmi les outils qui étaient cryptés, il y a ceux que les experts pensent avoir reconnus en se basant sur les noms et d’autres caractéristiques. Il y avait entre autres « SoftPerfect Network Scanner », un scanner de réseaux IPv4/IPv6, et « shadow.bat » qui est utilisé pour supprimer les Shadow Volume Copies des appareils Windows.

A lire aussi : Du ransomware au revenge porn

Un lien vers un site de massage

En utilisant l’outil CipherTrace pour pister les paiements de la rançon qui passaient par différents portefeuilles bitcoin, les experts en cyber-sécurité ont fait une découverte assez inattendue. En effet, ils ont remarqué qu’une petite portion de la rançon, notamment une somme de 0,01378880 BTC ou environ 590 dollars, a été envoyée vers un « Tip Jar » sur le site RubRatings. Ce dernier est un site web qui permet à des « fournisseurs de massages » des Etats-Unis de faire la promotion de leurs services. L’on sait que la plupart de ces fournisseurs proposent des massages sensuels ou encore des photos de personnes presque nues.

Sur le site, chaque masseuse possède un bouton Tip Jar sur leur profil. Cela permet aux clients de laisser un pourboire en bitcoin après leur massage. Ainsi, les spécialistes en cyber-sécurité pensent qu’une partie de la rançon a été envoyée à un agent d’Ever101 aux USA, qui l’a ensuite utilisée pour payer une masseuse. Il a également pu utiliser le site comme couverture pour blanchir l’argent de la rançon. Selon les experts, il est possible que la masseuse qui possède le portefeuille bitcoin travaille avec les malfaiteurs, mais il est plus probable qu’il s’agisse d’un faux compte pour pouvoir transférer l’argent.

Actuellement, il est devenu plus facile de suivre les transactions bitcoin. C’est pourquoi les pirates informatiques cherchent à chaque fois un nouveau moyen pour blanchir leur argent.

Mots-clés ransomware