Une nouvelle variante de rançongiciel a été détectée, capable d’échapper à la détection en se cryptant.
Les chercheurs en cybersécurité de la société de solutions de conseil en gestion des risques et financières Kroll ont récemment découvert une variante du rançongiciel connue sous le nom de Cactus.
Outre l’opération habituelle – crypter les fichiers et laisser une note de rançon – le logiciel malveillant a également un moyen unique d’éviter d’être détecté par les programmes antivirus et les solutions de sécurité des terminaux.
Difficile à repérer
Tel que rapporté par BipOrdinateur, le ransomware a trois principaux modes d’exécution, dont l’un est le cryptage. Une fois la charge utile déployée, les attaquants fourniraient au logiciel malveillant une clé AES unique qu’ils sont seuls à connaître. Cette clé est utilisée pour déchiffrer le fichier de configuration du rançongiciel et la clé RSA publique dont ils ont besoin pour chiffrer tout le reste sur le terminal cible. La clé se présente sous la forme d’une chaîne HEX codée en dur dans le binaire du chiffreur.
En décodant la chaîne HEX, les attaquants obtiennent des données cryptées qu’ils peuvent lire s’ils disposent de la clé AES.
« CACTUS se crypte essentiellement, ce qui le rend plus difficile à détecter et l’aide à échapper aux antivirus et aux outils de surveillance du réseau », a déclaré Laurie Iacono, directrice générale associée pour Cyber Risk chez Kroll, à Bleeping Computer.
Ce qui rend également Cactus intéressant, c’est qu’il dispose de plusieurs modes de cryptage, dont un mode rapide. Si les opérateurs décident d’exécuter les deux modes l’un après l’autre, les fichiers seront cryptés deux fois et recevront deux extensions de fichier.
On sait très peu de choses sur l’opération de rançongiciel Cactus. Nous ne savons pas si des entreprises sont actuellement attaquées ou négocient un paiement. Bien que non confirmés, certains rapports affirment que le groupe demande des « millions » lorsqu’il demande des paiements. Nous ne savons pas non plus à quel point le groupe a réussi dans le passé.
Comme d’habitude, la meilleure façon de se protéger contre les ransomwares est de corriger régulièrement les logiciels et le matériel, de mettre en place des solutions de cybersécurité et de former votre personnel aux dangers des attaques de phishing et d’ingénierie sociale.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)