kaptn - Fotolia
Les auteurs de ransomwares ne tarissent pas de créativité
L’explosion du cryptojacking pourrait tendre à faire oublier les rançongiciels. Mais les créateurs de ceux-ci restent bien actifs et ne manquent pas de faire évoluer leurs produits.
Le détournement de ressources de calcul pour miner des crypto-monnaies s’est imposé en tête des menaces au premier semestre. Jusqu’à faire, mécaniquement, de l’ombre aux ransomwares. Mais ceux-ci continuent de constituer une menace sérieuse avec des auteurs toujours pleins de créativité.
Ainsi, la version 4.1 de GandCrab est aujourd’hui en circulation, quelques jours seulement après la version 4.0. Dans un billet de blog, Kevin Beaumont en souligne une originalité : c’est le premier rançongiciel se propageant comme un ver en exploitant des vulnérabilités du protocole SMB affectant les systèmes sous Windows XP et Server 2003.
En outre, depuis sa version 4.0, GandGrab se passe de canaux de communication avec un serveur de commande et de contrôle : « il peut opérer dans les environnements en airgap », isolés, donc, souligne Kevin Beaumont.
La bonne nouvelle est que GandCrab affecte essentiellement les organisations et les personnes souffrant de mauvaises pratiques de sécurité. Il est d’ailleurs notamment distribué avec des générateurs de numéros de série de logiciels… Mais « la plupart des antivirus peuvent le détecter rapidement ».
Les recommandations de prévention devraient donc être bien connues : segmenter ses réseaux, désactiver SMBv1, installer les correctifs disponibles et garder des systèmes bien à jour, tout en interdisant certaines pratiques à risque.
Les créateurs des ransomwares de la famille Rakhni ne manquent pas, non plus, de créativité. Les équipes de Kaspersky suivent leurs maliciels depuis 2013. Et le dernier d’entre eux manifeste un opportunisme poussé à son comble : selon les caractéristiques de la machine sur laquelle il s’installe, il choisira tantôt de se comporter comme un rançongiciel, ou comme un maliciel de cryptojacking.
Ce choix est d’abord déterminé par la présence, ou l’absence, d’un dossier spécifique faisant référence au Bitcoin. S’il existe, le maliciel ira charger le ransomware. Sinon, et si le système d’exploitation de la machine expose plus de deux processeurs logiques, ce sera le mineur de crypto-deniers, en Monero.
Dans tous les cas, le logiciel vérifie si un antivirus est installé. Et s’il n’en trouve pas, il fait appel à Powershell pour arrêter Windows Defender. En outre, il essaie au passage de se propager à toutes les ressources de partage de fichiers accessibles sur le réseau de la machine compromise.