Un nouveau ransomware utilise des techniques d’évasion sophistiquées

Un nouveau ransomware utilise des techniques d’évasion sophistiquées

Bitdefender anti crypto

La firme de cybersécurité Recorded Future a révélé le 10 juin qu’une attaque de ransomware nommée «Thanos» avait été promue sur un certain nombre de forums de piratage de darknet depuis février.

Selon le rapport, le groupe Insikt de Recorded Future a découvert la nouvelle attaque de ransomware en tant que service.

Les méthodes de «ransomware-as-a-service» consistent à permettre aux pirates externes d’utiliser le ransomware pour attaquer leurs cibles en échange d’adhérer à un système de partage des revenus avec les développeurs en répartissant les bénéfices de 60% à 70% environ.

La principale caractéristique du rançongiciel Thanos

S’adressant à Crypto, Lindsay Kaye, directrice des résultats opérationnels d’Insikt Group chez Recorded Future, explique plus en détail la fonctionnalité de chiffrement utilisée dans le ransomware:

«Thanos n’a pas de caractéristiques particulièrement sophistiquées ou nouvelles que nous avons pu identifier, mais la caractéristique remarquable trouvée par Insikt Group et qui a stimulé cette recherche est l’utilisation par les logiciels malveillants de la technique RIPlace dans son processus de cryptage de fichiers. Auparavant, la technique RIPlace n’était observée que dans la preuve de concept publiée par Nyotron, mais le rançongiciel Thanos montre un exemple d’acteur de menace produisant la technique à utiliser dans des logiciels malveillants. »

Le constructeur de rançongiciels Thanos permet à l’opérateur de personnaliser la note de rançon du logiciel. Ils peuvent modifier le texte pour demander n’importe quelle crypto-monnaie de leur choix, pas seulement Bitcoin (BTC).

Bien que ce soit une possibilité annoncée, Kaye dit que jusqu’à présent, ils n’ont pas observé l’utilisation de Monero avec le ransomware.

Niveau de force du chiffrement

Le directeur des résultats opérationnels d’Insikt Group chez Recorded Future a conseillé:

«Les attaques de ransomwares, si elles réussissent, peuvent être extrêmement invalidantes pour les entreprises. Étant donné que Thanos utilise par défaut une clé de chiffrement AES générée lors de l’exécution, sans la clé privée de l’attaquant, la récupération des fichiers est impossible. Cela dit, pour minimiser le risque d’attaque à l’aide de Thanos, les organisations devraient continuer à utiliser les meilleures pratiques de sécurité des informations pour atténuer les menaces posées par les ransomwares. »

Crypto a précédemment rapporté que des pirates DopplePaymer avaient divulgué un certain nombre de fichiers d’archives appartenant à la NASA via un portail géré par le gang, y compris des documents RH et des plans de projet. Ces fichiers proviennent de Digital Management Inc, ou DMI, du Maryland, qui est un entrepreneur informatique qui travaille avec plusieurs entreprises et entités gouvernementales.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *