Si vous pensiez que les logiciels de rançon obligeant les gens à faire de bonnes actions étaient bizarres, attendez d’entendre parler de WannaFriendMe. Pour obtenir le décrypteur de ce ransomware récemment découvert (s’ouvre dans un nouvel onglet) souche, les victimes doivent acheter un pass de jeu sur la boutique Roblox Game Pass.
Roblox est une plate-forme de jeu où les utilisateurs peuvent créer et jouer à des jeux. Les créateurs de jeux peuvent monétiser leurs créations en exigeant des laissez-passer avant de jouer. Ces pass peuvent être achetés avec la devise native de la plateforme, Robux.
Dans la note de rançon envoyée aux victimes, il est indiqué qu’elles doivent acheter un pass de jeu spécifique, coûtant 1700 Robux, soit environ 20 $. Après avoir acquis le pass de jeu, ils doivent contacter une adresse e-mail spécifique avec leur nom d’utilisateur et une capture d’écran pour prouver l’achat.
Le chaos? Ou Ryuk ?
Les attaquants avertissent les victimes de ne pas supprimer la passe de jeu car cela rendrait le processus invalide.
Si vous pensiez que 20 $ était une monnaie de poche par rapport à d’autres logiciels malveillants (s’ouvre dans un nouvel onglet) les opérateurs dont les demandes atteignent des dizaines de milliers de dollars, n’oubliez pas que les cibles de cette campagne sont principalement les joueurs.
Un autre point intéressant est que les acteurs de la menace utilisent le rançongiciel Chaos, qui essaie de se faire passer pour Ryuk. À la mi-2021, quelqu’un a commencé à vendre un générateur de rançongiciel Chaos, permettant à presque tous ceux qui disposaient de quelques dollars supplémentaires de créer leur propre souche de rançongiciel.
La principale différence entre Chaos et Ryuk est le fait que le premier est connu pour écraser des fichiers volumineux avec du charabia.
En d’autres termes, une fois cryptés, tous les fichiers de plus de 2 Mo ne peuvent jamais être récupérés. C’est un fait connu pour Chaos, et cela pourrait rebuter certaines personnes qui envisageaient de payer la demande de rançon.
Les chercheurs qui ont découvert la campagne, MalwareHunterTeam, ont déclaré que le constructeur du rançongiciel Chaos prétend être Ryuk par défaut, en utilisant l’extension .ryuk pour tous les fichiers cryptés.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)