Le FBI alerte sur la montée en puissance de Playcrypt, un groupe de pirates spécialisé dans les ransomwares. Actif depuis 2022, ce gang multiplie les attaques contre des entreprises et des infrastructures critiques dans le monde entier en pratiquant la double extorsion.
Le FBI tire la sonnette d’alarme au sujet des attaques perpétrées par Playcrypt, un gang de pirates spécialisés dans les ransomwares. Apparu en 2022, le groupuscule, qui se fait aussi appeler Play, s’est attaqué à « un large éventail d’entreprises et d’infrastructures critiques en Amérique du Nord, en Amérique du Sud et en Europe », indique la police fédérale américaine.
À lire aussi : la police démantèle 6 virus à l’origine des cyberattaques
Un gang spécialisé dans la double extorsion
Fort de ses nombreuses cyberattaques, Playcrypt s’est imposé comme « l’un des groupes de ransomware les plus actifs en 2024 ». Comme la plupart des gangs, Play pratique la double extorsion. Après avoir volé les données d’une entreprise, les pirates déploient leur ransomware sur le système. Ce logiciel chiffre les fichiers, les rendant inaccessibles.
Pour retrouver l’accès aux données, l’entreprise doit payer une rançon. Parallèlement, les attaquants menacent de publier ou de supprimer les données volées si la rançon n’est pas versée dans les temps. Cette stratégie maximise les chances d’obtenir de l’argent de la part de la victime. Elle permet aussi de garder un moyen de pression sur les sociétés qui ont fait une sauvegarde de leurs données.
À lire aussi : Des pirates qui voyagent dans le temps – le malware Medusa a une astuce pour pirater votre PC
Plus de 900 cyberattaques signées Playcrypt
Récemment, le gang criminel est passé à la vitesse supérieure. Le FBI a enregistré plus de 900 intrusions perpétrées par Playcrypt. C’est trois plus qu’en octobre 2023, quand le FBI avait publié une première alerte au sujet du groupe pirate. Le nombre réel d’attaques est vraisemblablement plus élevé. Toutes les victimes ne prennent pas la peine de contacter les autorités.
Pour passer inaperçu, le gang se sert de logiciels malveillants, dont le code est modifié dans le cadre de chaque intrusion. Cette précaution complique fortement le travail des antivirus et des systèmes de sécurité, qui ont du mal à reconnaître les nouvelles variantes du malware. Pour infecter les systèmes, Playcrypt utilise des outils comme Cobalt Strike. Le gang a aussi exploité une poignée de vulnérabilités de SimpleHelp dans ses offensives. En piratant le logiciel de support à distance, les hackers se frayent un chemin au sein de l’ordinateur.
Parmi les victimes du ransomware Play, on trouve la société cloud Rackspace, les villes de Dallas, Oakland et Anvers, le vendeur de voitures Arnold Clark, la chaîne de beignets Krispy Kreme, ainsi que le fabricant américain de puces électroniques Microchip Technology. Le FBI recommande aux entreprises de garder leurs systèmes à jour, d’activer la double authentification et de garder des sauvegardes de leurs données hors ligne.
Si vous vous retrouvez dans le viseur d’un professionnel de l’extorsion, ne versez surtout pas la rançon. Dans de nombreux cas, les pirates partagent quand même les données volées avec d’autres hackers, même après paiement. Une étude de Cybereason montre que seule une victime sur deux récupère réellement ses fichiers en négociant avec les criminels. Pire, les entreprises qui plient à la demande sont susceptibles de se retrouver à nouveau frappées dans un ransomware à l’avenir. Les cybercriminels ont en effet tendance à revenir vers ceux qui ont déjà coopéré par le passé.
Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
CISA.gov