Adfuhbazi Ransomware verrouillera tous vos fichiers

Au cours de notre analyse des nouvelles soumissions de logiciels malveillants, nos chercheurs sont tombés sur Adfuhbazi, un programme de ransomware appartenant à la famille des ransomwares Snatch. Ce logiciel malveillant particulier crypte les fichiers et ajoute une extension ".adfuhbazi" à leurs noms de fichiers. Par exemple, un fichier nommé "1.jpg" serait transformé en "1.jpg.adfuhbazi", et "2.png" deviendrait "2.png.adfuhbazi", et ainsi de suite pour tous les fichiers chiffrés.

Suite au processus de cryptage, une note de rançon intitulée "COMMENT RESTAURER VOS FICHIERS ADFUHBAZI.TXT" est générée. Le contenu du message indique que ce ransomware cible principalement les grandes organisations plutôt que les utilisateurs individuels. La note de rançon, adressée à la victime en tant que "gestion", l'informe que ses fichiers ont été cryptés et que plus de 200 Go de données ont été extraites du réseau compromis. Les données volées comprennent des informations sensibles telles que des données comptables, des documents confidentiels, des bases de données clients et des dossiers personnels.

La note déconseille explicitement l'utilisation d'outils de décryptage tiers, soulignant que de tels outils rendraient les données cryptées irrécupérables. De plus, le message sert d'avertissement, indiquant que si la victime ne parvient pas à contacter les attaquants dans les trois jours, les données volées seront probablement divulguées publiquement.

Adfuhbazi Ransomware ciblant les entreprises

Le texte intégral de la note de rançon utilisée par l'Adfuhbazi indique clairement que le rançongiciel cible les entreprises. La note complète se lit comme suit :

Chère direction !

Nous vous informons que votre réseau a subi un test d'intrusion, au cours duquel nous avons chiffré
vos fichiers et téléchargé plus de 200 Go de vos données, notamment :

Comptabilité
Documents confidentiels
Données personnelles
Bases de données clients

Important! N'essayez pas de décrypter les fichiers vous-même ou d'utiliser des utilitaires tiers.
Le programme qui peut les décrypter est notre décrypteur, que vous pouvez demander aux contacts ci-dessous.
Tout autre programme ne peut qu'endommager les fichiers.

Sachez que si nous ne recevons pas de réponse de votre part dans les 3 jours, nous nous réservons le droit de publier vos fichiers.

Contactez-nous:

777doctor@proton.me ou 777doctor@swisscows.email

Comment un rançongiciel comme Adfuhbazi est-il déployé sur les systèmes victimes ?

Le déploiement de rançongiciels comme Adfuhbazi sur les systèmes des victimes implique généralement diverses techniques et stratégies employées par les cybercriminels. Bien que les méthodes spécifiques puissent varier, voici un aperçu général de la manière dont les ransomwares sont couramment déployés :

E-mails de phishing : une méthode courante consiste à envoyer des e-mails de phishing, où les attaquants envoient des e-mails trompeurs se faisant passer pour des entités légitimes ou contenant des pièces jointes malveillantes. Ces e-mails peuvent amener les destinataires à ouvrir des pièces jointes infectées ou à cliquer sur des liens malveillants, ce qui déclenche alors le téléchargement du rançongiciel.

Kits d'exploitation : les cybercriminels peuvent exploiter les vulnérabilités des logiciels, des systèmes d'exploitation ou des navigateurs Web pour diffuser des rançongiciels. Ils utilisent des kits d'exploitation, qui sont des outils automatisés capables d'identifier et d'exploiter les failles de sécurité, permettant au ransomware d'être téléchargé et exécuté en silence sur le système de la victime.

Publicité malveillante : des publicités malveillantes, également appelées publicités malveillantes, peuvent être injectées dans des sites Web ou des réseaux publicitaires légitimes. Lorsque les utilisateurs cliquent sur ces publicités, ils peuvent déclencher sans le savoir le téléchargement et l'exécution de ransomwares.

Attaques RDP (Remote Desktop Protocol) : les attaquants peuvent cibler des systèmes avec des configurations Remote Desktop Protocol faibles ou compromises. En obtenant un accès non autorisé au système de la victime, celle-ci peut installer et exécuter manuellement un rançongiciel.

Vulnérabilités logicielles : les développeurs de ransomwares exploitent souvent les vulnérabilités de sécurité des logiciels couramment utilisés. Si un utilisateur ne parvient pas à mettre à jour son logiciel rapidement, il peut exposer son système à ces vulnérabilités, permettant ainsi l'installation d'un rançongiciel.

Téléchargements intempestifs : du code malveillant peut être injecté dans des sites Web compromis ou malveillants. Lorsque les utilisateurs visitent ces sites Web, le logiciel de rançon peut être téléchargé et exécuté à leur insu ou sans leur consentement.

Il est essentiel que les individus et les organisations mettent en œuvre des mesures de sécurité robustes, telles que la mise à jour régulière des logiciels, l'utilisation de mots de passe forts, l'utilisation de systèmes de filtrage des e-mails et la formation des utilisateurs sur les pratiques en ligne sûres, afin d'atténuer le risque d'infections par des ransomwares.