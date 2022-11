Le sinistre ransomware AXLocker ajoute l'insulte à la blessure en volant votre compte Discord.



Les chercheurs de la société de cybersécurité Cyble ont publié une analyse technique d'un nouveau ransomware appelé "AXLocker". Outre le cryptage des données effectué par les ransomwares, AXLocker recherche également les jetons de connexion Discord sur les systèmes des victimes, puis les transmet à l'acteur menaçant qui se cache derrière le ransomware. Pendant que les victimes tentent de récupérer leurs données cryptées, l'acteur de la menace peut utiliser ces identifiants volés pour accéder aux comptes Discord des victimes, qu'il peut utiliser pour poursuivre la diffusion du ransomware.







Les ransomwares sont une source d'inquiétude croissante dans le domaine de la sécurité informatique. La semaine dernière, le Federal Bureau of Investigation (FBI) et d'autres agences gouvernementales américaines ont publié un avis commun de cybersécurité mettant en garde les professionnels de la cybersécurité contre le gang Hive Ransomware, qui a volé un total de 100 millions de dollars à plus de 1 300 organisations. Deux semaines avant la publication de cet avis, la Maison-Blanche a organisé le deuxième sommet international sur la lutte contre les rançongiciels. Avant l'événement, un haut responsable de l'administration Biden a prévenu que la croissance des attaques par ransomware dépassait la capacité des États-Unis à les combattre.



Cette croissance est à l'origine de nouvelles innovations dans le domaine des ransomwares, les développeurs de logiciels malveillants Android tentant de se lancer dans l'action en ajoutant des fonctionnalités de ransomware à leurs logiciels malveillants. Une bande de ransomware déjà établie expérimente également l'utilisation de la corruption des données au lieu de leur cryptage. L'ajout d'un voleur de compte Discord, comme on le voit dans AXLocker, marque une nouvelle expérimentation parmi les développeurs de ransomware.







Après avoir chiffré la majorité des données stockées sur les machines Windows infectées, AXLocker recherche les répertoires Discord, ainsi que les répertoires des navigateurs Brave, Chrome, Opera et Yandex. Si le ransomware localise ces répertoires et y trouve des jetons d'authentification Discord, AXLocker exfiltre les jetons et les envoie à l'acteur menaçant qui mène ces attaques par ransomware. Qu'AXLocker trouve ou non des jetons d'authentification Discord, le ransomware collecte également des informations sur le système, notamment le nom de l'ordinateur, le nom d'utilisateur, l'adresse IP et l'UUID (identifiant unique universel) du système, et les transmet à l'acteur menaçant.



Une fois que AXLocker a accompli toutes ses tâches infâmes, il ouvre une fenêtre informant l'utilisateur que les fichiers du système affecté ont été cryptés avec une clé privée. Afin d'obtenir cette clé privée et de décrypter ses fichiers, la note de rançon demande à l'utilisateur de contacter l'acteur de la menace et de payer une rançon dans un délai déterminé. Une minuterie située en haut de la fenêtre indique le temps restant avant la suppression de la clé privée. La note de rançon ne fait aucune mention des jetons d'authentification Discord volés, laissant les victimes inconscientes de l'acte de vol perpétré par le ransomware. Sinon, les victimes pourraient savoir qu'elles doivent immédiatement changer leur mot de passe Discord pour invalider les jetons d'authentification volés.



HOTHARDWARE