Wormhole Ransomware verrouille les fichiers des victimes

Dans notre enquête sur le malware Wormhole, nous avons déterminé qu'il fonctionne comme un ransomware avec pour objectif principal de crypter des fichiers et d'exiger une rançon pour le décryptage. Parallèlement au chiffrement des fichiers, Wormhole modifie les noms de fichiers en ajoutant l'extension « .Wormhole » (par exemple, renommer « 1.jpg » en « 1.jpg.Wormhole », « 2.png » en « 2.png.Wormhole », etc. ).

Le ransomware présente également une note de rançon (« Comment récupérer des fichiers cryptés par Wormhole.txt ») qui demande aux victimes de communiquer avec les attaquants via Tox ou qTox (fournissant des liens de téléchargement pour ces outils). Il conseille aux victimes de configurer un proxy si l'outil de chat rencontre des problèmes de connectivité Internet.

De plus, la note contient le Tox ID de l'attaquant, servant d'identifiant unique à des fins de communication. Il demande au destinataire d'envoyer un fichier crypté accompagné d'un identifiant Wormhole pour tester le décryptage.

Note de rançon Wormhole dans son intégralité

Le texte complet de la demande de rançon produite par Wormhole est le suivant :

Please contact us via Tox.chat tool or qtox tool
Download Tox.chat hxxps://tox.chat/download.html
Download qtox hxxps://github.com/qTox/qTox/blob/master/README.md#qtox
If your chat Tool cannot connect to the Internet, please set up a proxy.
Add our TOX ID and send an encrypted file and Wormhole ID for testing decryption.

Our TOX ID 503313BA88174FDF187C5009A43B45CBC144D313EFBF98BB75BFA084B5743E3ECA94499F95ED

Your Wormhole ID: -

Comment les ransomwares sont-ils généralement distribués en ligne ?

Les ransomwares sont généralement distribués en ligne via diverses méthodes, exploitant souvent des tactiques d'ingénierie sociale et des vulnérabilités des logiciels ou des systèmes. Voici quelques méthodes de distribution courantes :

E-mails de phishing : l'une des méthodes les plus répandues consiste à envoyer des e-mails de phishing contenant des pièces jointes ou des liens malveillants. Ces e-mails sont conçus pour paraître légitimes et peuvent inciter les utilisateurs à ouvrir des pièces jointes ou à cliquer sur des liens qui téléchargent et exécutent des ransomwares sur leurs systèmes.

Liens malveillants : les ransomwares peuvent être distribués via des liens malveillants partagés par courrier électronique, sur les réseaux sociaux ou sur des plateformes de messagerie instantanée. Cliquer sur ces liens peut conduire au téléchargement et à l'exécution d'un ransomware sur l'appareil de la victime.

Kits d'exploit : les cybercriminels utilisent des kits d'exploit pour exploiter les vulnérabilités des logiciels ou des navigateurs Web. Lorsqu'un utilisateur visite un site Web compromis, le kit d'exploitation télécharge et installe automatiquement un ransomware sur l'ordinateur de la victime à son insu.

Compromission du protocole RDP (Remote Desktop Protocol) : les attaquants exploitent des informations d'identification faibles ou par défaut pour le protocole RDP (Remote Desktop Protocol) pour obtenir un accès non autorisé au système d'une victime. Une fois à l’intérieur, ils déploient un ransomware pour crypter les fichiers et exiger une rançon.

Publicité malveillante : les publicités malveillantes (malvertising) sur des sites Web légitimes peuvent rediriger les utilisateurs vers des sites Web hébergeant des ransomwares. Ces publicités peuvent apparaître sur des sites Web populaires et exploiter les vulnérabilités du navigateur ou des plug-ins de l'utilisateur pour diffuser des ransomwares.