Le BitPaymer, également connu sous les noms de FriedEx ou IEncrypt, est utilisé depuis au moins juillet 2017. Il est utilisé dans des attaques ciblées contre des entités privées et publiques, opérées manuellement.
Les recherches de la sociĂ©tĂ© de sĂ©curitĂ© ESET ont liĂ© le BitPaymer au Dridex (un trojan bancaire sophistiquĂ© utilisĂ© depuis 2014 et connu pour cibler le secteur financier), partageant plusieurs similitudes techniques avec ce dernier. L’acteur de menace qui opère le Dridex aurait pu diversifier ses activitĂ©s lucratives en s’inspirant des succès prĂ©cĂ©dents des ransomwares.
Selon le rapport publié par le CERT-FR, le BitPaymer est généralement distribué par e-mail, à travers des pièces jointes malveillantes ou des liens malveillants dans les messages. Les attaquants utilisent des documents Microsoft Office ou des fichiers .zip contenant des macros malveillantes pour exécuter le ransomware sur les systèmes ciblés.
Une fois exĂ©cutĂ©, le BitPaymer chiffre les fichiers du système et affiche une rançon demandant le paiement en bitcoins pour rĂ©cupĂ©rer les fichiers. Les attaquants demandent gĂ©nĂ©ralement des sommes d’argent importantes et utilisent des techniques de pression psychologique pour inciter les victimes Ă payer rapidement.
Le rapport souligne que le BitPaymer est particulièrement dangereux car il est gĂ©nĂ©ralement utilisĂ© dans des attaques ciblĂ©es, ce qui signifie qu’il est conçu pour attaquer spĂ©cifiquement certaines organisations plutĂ´t que de se propager de manière alĂ©atoire. Cela indique une intention malveillante spĂ©cifique, plutĂ´t qu’une simple attaque opportuniste.
Pour se protĂ©ger contre le BitPaymer et d’autres ransomwares similaires, le CERT-FR recommande aux organisations de prendre des mesures prĂ©ventives telles que la sensibilisation des employĂ©s aux techniques de phishing et de spear phishing, la mise en place de sauvegardes rĂ©gulières des donnĂ©es importantes, l’utilisation d’un logiciel antivirus Ă jour et la configuration de pare-feux et de dispositifs de dĂ©tection d’intrusion pour surveiller les activitĂ©s suspectes sur les rĂ©seaux.
Il est Ă©galement essentiel de maintenir Ă jour les systèmes d’exploitation et les logiciels, de limiter les droits d’accès des utilisateurs et de mettre en place des politiques de sĂ©curitĂ© solides pour minimiser les risques d’infection par des ransomwares.
En cas d’infection par le BitPaymer ou tout autre ransomware, il est recommandĂ© aux organisations de ne pas payer la rançon demandĂ©e, car cela n’offre aucune garantie de rĂ©cupĂ©ration des fichiers et encourage les attaquants Ă continuer leurs activitĂ©s malveillantes. Il est conseillĂ© de signaler l’incident aux autoritĂ©s compĂ©tentes et de faire appel Ă des experts en sĂ©curitĂ© informatique pour tenter de restaurer les fichiers et identifier l’origine de l’attaque.
En conclusion, le BitPaymer est un ransomware dangereux qui cible spĂ©cifiquement certaines organisations. Il est essentiel pour les organisations de prendre des mesures prĂ©ventives et de sensibiliser les employĂ©s aux risques associĂ©s aux attaques par e-mail et aux ransomwares. La mise en place de sauvegardes rĂ©gulières des donnĂ©es et le maintien des systèmes Ă jour sont Ă©galement essentiels pour rĂ©duire les risques d’infection.
Liens vers le site cert.ssi.gouv.fr/
- Pegasus, Predator, Graphite ou Triangulation : Apple alerte ses utilisateurs ciblés par des logiciels espions : ce que dit le CERT-FR
- Quand le silence n’est pas d’or : la psychologie du chef d’entreprise face Ă l’attaque par ransomware, attention Ă l’Effet Streisand
- L’Attaque de Cuba Ransomware contre DMS Imaging : Une Menace pour la CybersĂ©curitĂ© dans le Secteur de la SantĂ© ?
