Le ransomware GlobeImposter frappe la France

0

Vade Secure alerte sur les premières vagues d’un nouveau ransomware GlobeImposter détectée en France. Depuis les dernières 24h, le filtre Vade Secure a bloqué 80 000 emails contenant le ransomware, ciblant exclusivement les entreprises (utilisant le filtre Vade Secure Cloud, soit environ 400 000 entreprises).

Les cybercriminels restent très actifs pendant les périodes de vacances, profitant ainsi de la baisse de vigilance des professionnels, cette campagne de GlobeImposter est suivie par une nouvelle campagne de Trojan Trickbot. Ce trojan avait été largement diffusé début juin et signe son retour avec déjà plus de 100 000 emails bloqués par le filtre de Vade Secure en quelques heures. « Rien ne permet toutefois à ce stade d’établir une relation entre ces deux campagnes simultanées, à l’exception du timing précis des vagues et de la diffusion qui semble être faite encore une fois via le botnet Necurs » assure Sébastien Gest, Tech Evangelist chez Vade Secure.

Sébastien Gest invite les professionnels à la plus grande vigilance : « En effet, GlobeImposter est un nouveau ransomware et les anti-virus n’ont semble-t-il pas été en mesure de le détecter rapidement. Il est important de mettre en place les bonnes règles de détection et surtout d’alerter en interne pour élever le niveau de vigilance ».

Qu’est-ce que le ransomware GlobeImposter ?

Ciblant les professionnels, les emails sont émis en majorité depuis l’Inde, le pakistan, la Chine.

GlobeImposter se présente sous la forme d’une notification d’un répondeur vocal invitant à télécharger un message en pièce jointe. L’émetteur se présente sous la forme « Microsoft Voice <MSVoice@votre nom de domaine> » accompagnée de l’objet « Voicemail From <un numéro de téléphone> at <un horaire> ».

L’email contient une pièce jointe au format zip contenant un script Visual Basic téléchargeant un fichier malicieux depuis les domaines suivants :

  • showyourdeal.com/JHghjHy6?
  • 89tg7gjkkhhprottity.com/af/JHghjHy6
  • mybutterhalf.com/JHghjHy6?
  • dreamoneday.com/JHghjHy6?
  • aitree.com/JHghjHy6?
  • profileto.com/JHghjHy6?
  • kt-mm.com/JHghjHy6?
  • ttcpv.com/JHghjHy6?
  • sethiwriting.com/JHghjHy6?
Share.

About Author

Leave A Reply