La nouvelle opération de ransomware Brain Cipher a commencé à cibler des organisations du monde entier, attirant l’attention des médias pour une récente attaque contre le centre de données national temporaire d’Indonésie.

L’Indonésie construit des centres de données nationaux pour stocker en toute sécurité les serveurs utilisés par le gouvernement pour les services en ligne et l’hébergement de données.

Le 20 juin, l’un des centres de données nationaux temporaires a subi une cyberattaque qui a crypté les serveurs du gouvernement et perturbé les services d’immigration, le contrôle des passeports, la délivrance des permis d’événement et d’autres services en ligne.

Le gouvernement a confirmé qu’une nouvelle opération de ransomware, Brain Cipher, était à l’origine de l’attaque, perturbant plus de 200 agences gouvernementales.

Brain Cipher a exigé 8 millions de dollars dans la crypto-monnaie Monero pour recevoir un déchiffreur et ne pas divulguer des données prétendument volées.

Breachtrace a appris que les acteurs de la menace ont déclaré dans le chat de négociation qu’ils publiaient un « communiqué de presse » sur la « qualité de la protection des données personnelles » dans l’attaque, indiquant probablement que des données avaient été volées.

Qui est Brain Cipher
Brain Cipher est une nouvelle opération de ransomware lancée plus tôt ce mois-ci, menant des attaques contre des organisations du monde entier.

Alors que le gang de ransomwares s’est initialement lancé sans site de fuite de données, leurs dernières notes de rançon sont désormais liées à un site, indiquant que les données sont toujours attaquées et seront utilisées dans des stratagèmes de double extorsion.

Breachtrace est au courant de nombreux échantillons du ransomware Brain Cipher téléchargés sur divers sites de partage de logiciels malveillants au cours des deux dernières semaines.

Ces échantillons [1, 2, 3] ont été créés à l’aide du constructeur LockBit 3.0 divulgué, dont d’autres acteurs de la menace ont fortement abusé pour lancer leurs propres opérations de ransomware.

Cependant, Brain Cipher a apporté quelques modifications mineures au chiffreur.

L’un de ces changements est qu’il ajoute non seulement une extension au fichier crypté, mais crypte également le nom du fichier, comme indiqué ci-dessous.

Fichiers cryptés par Chiffrement cérébral

Le chiffreur créera également des notes de rançon nommées au format [extension].LIS-MOI.txt, comme indiqué ci-dessous. Ces notes de rançon décrivent brièvement ce qui s’est passé, font des menaces et renvoient aux sites de négociation Tor et de fuite de données.

Note de rançon de chiffrement du cerveau

Dans une note vue par Breachtrace, l’auteur de la menace a légèrement dévié du modèle et a utilisé le nom de fichier  » Comment restaurer vos fichiers.SMS.’

Variante de note de rançon de chiffrement du cerveau

Chaque victime dispose d’un identifiant de cryptage unique qui est entré sur le site de négociation Tor de l’auteur de la menace. Comme de nombreuses autres opérations récentes de ransomware, le site de négociation est assez simple, comprenant simplement un système de discussion que la victime peut utiliser pour communiquer avec le gang de ransomwares.

Site de négociation sur le dark Web de chiffrement du cerveau

Lancement d’un nouveau site de fuites de données
Comme d’autres opérations de ransomware, Brain Cipher violera un réseau d’entreprise et se propagera latéralement à d’autres appareils. Une fois que les auteurs de la menace obtiennent les informations d’identification d’administrateur de domaine Windows, ils déploient le ransomware sur l’ensemble du réseau.

Cependant, avant de chiffrer les fichiers, les acteurs de la menace voleront les données de l’entreprise pour en tirer parti dans leurs tentatives d’extorsion, avertissant les victimes qu’elles seront rendues publiques si une rançon n’est pas payée.

Brain Cipher n’est pas différent et a récemment lancé un nouveau site de fuite de données qui ne répertorie actuellement aucune victime.

Site de fuite de données de chiffrement du cerveau

D’après les négociations vues par Breachtrace, le gang de ransomwares a exigé des rançons comprises entre 20 000 et 8 millions de dollars.

Comme le chiffreur est basé sur le chiffreur LockBit 3 divulgué, il a été soigneusement analysé dans le passé, et à moins que Brain Cipher n’ait modifié l’algorithme de chiffrement, il n’existe aucun moyen connu de récupérer des fichiers gratuitement.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *