« Abyss Locker » est une famille de rançongiciels détectée pour la première fois en juillet 2023, ciblant à la fois les systèmes Windows, Linux et les équipements réseau critiques, notamment les serveurs VMware ESXi. Dérivé du code source du ransomware « HelloKitty », il utilise la technique de la double extorsion, en volant des données sensibles avant de chiffrer les fichiers avec l’extension ".abyss" sur Windows, et ".crypt" sur Linux.

La technique utilisée pour la distribution de ce ransomware est souvent via des campagnes de phishing, incitant les victimes à télécharger des pièces jointes malveillantes ou à cliquer sur des liens infectés. Abyss Locker a été impliqué dans plusieurs attaques touchant des secteurs variés comme la santé, l’éducation et l’industrie. 

Ce ransomware utilise une infrastructure comprenant un site sur le réseau TOR pour les négociations de rançons, reflétant un haut niveau de sophistication. Deux nouvelles versions ont été publiées début 2024, confirmant une activité de développement continue au sein de ce groupe malveillant.

Le maCERT recommande d’intégrer les indicateurs de compromission (IOCs) ci-dessous au niveau des moyens de détection et d’alerter le maCERT en cas de détection d’une activité relative à ce malware.

Indicateurs de compromission (IOCs):

Hashs :