NullBulge Ransomware : cible les secteurs de l'IA et des jeux vidéo
Table of Contents
Comprendre le ransomware NullBulge
NullBulge est un type de ransomware qui s’est imposé comme une menace importante, ciblant particulièrement les entités d’IA et de jeux. Ce logiciel malveillant est basé sur LockBit , une souche de ransomware notoire connue pour son efficacité et son impact dévastateur. Comme d’autres ransomwares, NullBulge infiltre les systèmes, crypte les fichiers et demande une rançon pour leur décryptage. Ce qui distingue NullBulge, c'est son ciblage spécifique des secteurs de l'IA et des jeux, exploitant les dépendances sur des plateformes telles que GitHub et Hugging Face.
Une fois que NullBulge infecte un système, il ajoute une extension aléatoire aux noms de fichiers, indiquant clairement quels fichiers sont compromis. Par exemple, un fichier nommé « image.png » peut être renommé « image.png.7V7uPExzv ». Cette extension aléatoire est susceptible de varier selon les différentes infections. En plus de renommer les fichiers, NullBulge modifie le fond d'écran du bureau et dépose une demande de rançon intitulée "[extension].README.txt".
La note de rançon et les demandes
La demande de rançon laissée par NullBulge Ransomware est simple mais menaçante. Il informe les victimes que leurs données sont cryptées et ne peuvent être récupérées qu'en payant les attaquants en crypto-monnaie Monero (XMR). La note souligne que les cybercriminels s’intéressent uniquement au gain monétaire et non à l’influence politique. Pour maintenir leur réputation, ils promettent de fournir des outils de décryptage une fois la rançon payée. La note demande également aux victimes de contacter les attaquants via TOR pour obtenir un échantillon gratuit de décryptage de fichiers et met en garde contre la suppression ou la modification de fichiers, car cela pourrait entraver la récupération.
Cette focalisation sur la réputation est une démarche stratégique des attaquants pour instaurer la confiance, même sous la contrainte. En fournissant un échantillon de décryptage gratuit, ils visent à montrer aux victimes qu’elles peuvent effectivement décrypter les fichiers, ce qui les rend plus susceptibles de payer la rançon.
Voici le texte intégral de la demande de rançon :
NULLBULGE LOCK - BASED ON LOCKBIT
Your data is encrypted… but dont freak out
If we encrypted you, you majorly f***ed up. But… all can be saved
But not for free, we require an xmr payment
What guarantees that we will not deceive you?We are not a politically motivated group and we do not need anything other than your money.
If you pay, we will provide you the programs for decryption.
Life is too short to be sad. Dont be sad money is only paper. Your files are more important than paper right?If we do not give you decrypter then nobody will pay us in the future.
To us, our reputation is very important. There is no dissatisfied victim after payment.You may contact us and decrypt one file for free on these TOR sites with your personal DECRYPTION ID
Download and install TOR Browser hxxps://www.torproject.org/
Write to a chat and wait for the answer, we will always answer you.
Sometimes you will need to wait a whileLinks for Tor Browser:
hxxp://nullblgtk7dwzpfklgktzll27ovvnj7pvqkoprmhubnnb32qcbmcpgid.onion/Link for the normal browser
hxxp://group.goocasino.org
hxxps://nullbulge.comYour personal DECRYPTION ID: 217B9D5D58C4AD3C58695ABBA6C6AA0B
Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!
Le mode opératoire de NullBulge
Le mécanisme de livraison de NullBulge implique l'exploitation de référentiels accessibles au public sur des plateformes telles que GitHub et Hugging Face. Les victimes importent souvent sans le savoir des bibliothèques malveillantes, conduisant à l’infection. Les acteurs de la menace derrière NullBulge utilisent des outils tels que Async RAT et XWorm pour fournir les charges utiles du ransomware. Ces outils leur permettent d'accéder et de contrôler à distance les systèmes de la victime, facilitant ainsi le processus de cryptage.
Il est intéressant de noter que les cybercriminels derrière NullBulge prétendent être des hacktivistes. Ils affirment que leurs attaques constituent une forme de protestation contre l’IA, visant à protéger les artistes et les créateurs. Ce récit ne change cependant rien au fait que leur motivation principale est le gain financier, comme en témoigne leur demande de rançons en cryptomonnaies.
Incidents notables et impact
Récemment, NullBulge a attiré une attention considérable en divulguant les données et les actifs de Disney's Slack de la série DuckTales. Cette faille très médiatisée souligne la capacité du ransomware à cibler les grandes organisations et à perturber leurs opérations. De plus, les attaquants sont actifs sur des forums clandestins, vendant des données volées et des clés API OpenAI. Ces activités indiquent une stratégie plus large visant à monétiser leurs efforts cybercriminels au-delà du simple paiement de rançons.
L’impact de NullBulge et des attaques de ransomware similaires peut être dévastateur. Les victimes sont souvent confrontées à des temps d'arrêt importants, à des pertes de données et à une atteinte à leur réputation. La nécessité de payer des rançons découle de la difficulté de décrypter les fichiers sans les outils des attaquants, à moins qu'un outil de décryptage tiers ne soit disponible. Cela souligne l’importance des mesures préventives et des stratégies de réponse efficaces.
Le paysage plus large des ransomwares
Les ransomwares restent un outil populaire parmi les cybercriminels en raison de leur potentiel à générer des profits substantiels. Des variantes comme Ursq , Qual et NordCrypters illustrent la nature diversifiée et évolutive des menaces de ransomware. Ces programmes malveillants chiffrent généralement les données des victimes et exigent un paiement pour le décryptage. Les victimes disposant de sauvegardes de données fiables peuvent souvent récupérer leurs fichiers sans se conformer aux demandes des attaquants. Par conséquent, des sauvegardes régulières des données stockées sur des serveurs distants ou des appareils hors ligne sont cruciales.
Prévenir les attaques de ransomwares
Les principales cibles de NullBulge Ransomware incluent les communautés axées sur les applications d'IA et les jeux. Le ransomware se propage via des chaînes d’approvisionnement logicielles compromises, en exploitant les vulnérabilités logicielles, les e-mails malveillants, les clés USB infectées et d’autres vecteurs. Pour se protéger contre de telles attaques, il est essentiel de télécharger des logiciels uniquement à partir de sources officielles, d'éviter les logiciels piratés et d'être prudent avec les pièces jointes et les liens provenant d'expéditeurs inconnus.
De plus, le maintien de pratiques de cybersécurité robustes, telles que l'utilisation d'un logiciel antivirus mis à jour, la mise en œuvre de pare-feu et la sensibilisation des employés aux attaques de phishing, peuvent réduire considérablement le risque d'infection. Les pratiques de cyberhygiène, notamment les mises à jour régulières des logiciels et la surveillance du trafic réseau pour détecter toute activité inhabituelle, sont essentielles pour se défendre contre les ransomwares.
Par conséquent, le ransomware NullBulge illustre le paysage des menaces persistantes et évolutives auxquelles les organisations modernes sont confrontées, en particulier celles des secteurs de l’IA et des jeux. En comprenant ses tactiques et en adoptant des mesures de cybersécurité proactives, les entreprises peuvent mieux se protéger contre cette menace et contre des menaces similaires.
