Malwarebytes est la 4ème entreprise majeure à révéler en avoir été la cible bien que les dégâts chez elle paraissent avoir été très limités.

Jusqu’où s’arrêtera l’affaire du Solorigate ? Après plusieurs administrations américaines ainsi que des entreprises telles que Google, FireEye ou encore CrowdStrike, c’est au tour de Malwarebytes de déclarer en avoir été la cible.

Malwarebytes a été la cible d’un hacking en lien avec l’affaire du Solorigate, son dirigeant et fondateur Marcin Kleczynski a révélé dans un article de blog, le 19 janvier 2021. Les hackers auraient eu accès à quelques emails internes à l’entreprise.

« Nous pouvons confirmer l’existence d’une intrusionrésultant d’un abus sur des accès privilégiés à Microsoft Office 365 et les environnements Azure », a-t-il écrit. « A la suite de notre enquête, nous avons établi que les hackers ont eu accès à un nombre réduit de mails internes à l’entreprise. »Aucune compromission ou accès non-autorisé n’a été observé sur des productions internes, a ajouté Marcin Kleczynski.

Malwarebytes pense que l’attaque provient d’une puissance étrangère, très probablement la Russie, et en lien avec l’attaque sur SolarWinds, une analyse partagée par plusieurs organisations de cybersécurité et de défense américaines dans un communiqué conjoint, le 5 janvier.

Selon les détails fournis par l’entreprise, Malwarebytes a observé une activité suspecte d’un tiers sur son Microsoft Office 365 le 15 décembre 2020, utilisant les mêmes techniques que l’attaque sur SolarWinds. Aurait été exploitée une faille d’Azure Active Directory.

« Bien que nous ayons énormément appris[de cette attaque] en un temps relativement court, il reste bien plus à découvrir à l’égard de cette longue et active campagne ayant impacté d’importantes cibles »,a rappelé Marcin Kleczynski.

L'inde est devenue le berceau d’une nouvelle forme d’utilisation des rançongiciels. Un groupe de fermiers activistes utilise un rançongiciel pour faire pression et demander l’abrogation d’une loi.

Depuis des semaines, des fermiers indiens protestent contre une nouvelle loi agraire. La protestation vient de monter d'un cran avec un groupe de fermiers activistes (Khalsa Cyber Fauj ou la garde pure cyber) qui utilise maintenant une campagne de rançongiciel, Sarbloh, du nom de l'extension des fichiers chiffrés.

On a peu d'éléments sur ce groupe. Ce rançongiciel de masse transmis par des fichiers Word vise les ordinateurs personnels et demande l'abrogation de la loi agraire en question pour obtenir la clé de déchiffrement. Après le ransomware avec rançon, les attaques à double extorsion avec rançon et divulgation des données, voici le ransomware activiste.

Problème important, le rançongiciel ne semble pas avoir de faiblesse. Il utilise deux niveaux de chiffrement avec une clé AES aléatoire et une clé publique RSA ce qui le rend, semble t-il, impossible à casser. il est donc quasi impossible de récupérer les données. Les fichiers masqués, parfois laissés par des rançongiciels, sont eux-mêmes effacés. MalwareBytes affirme pour sa part qu'il est possible de retrouver les données.