Les auteurs du rançongiciel Snatch utilisent une astuce inédite pour contourner le logiciel antivirus et chiffrer les fichiers des victimes sans être détectés.
L’astuce consiste à redémarrer l’ordinateur infecté en mode sans échec et à exécuter le processus de chiffrement des fichiers du ransomware à partir de là.
La raison de cette étape est que la plupart des logiciels antivirus ne démarrent pas en mode sans échec Windows, un état Windows destiné au débogage et à la récupération d’un système d’exploitation corrompu.
Cependant, l’équipe Snatch a découvert qu’elle pouvait utiliser une clé de registre Windows pour planifier le démarrage d’un service Windows en mode sans échec. Ce service exécuterait son ransomware en mode sans échec sans risque d’être détecté par un logiciel antivirus et de voir son processus de chiffrement arrêté.
L’astuce du mode sans échec a été découverte par l’équipe de réponse aux incidents de Sophos Labs, qui a été appelée pour enquêter sur une infection par un rançongiciel au cours des dernières semaines. Son équipe de recherche explique que c’est un gros problème, et une astuce qui pourrait également être rapidement adoptée par d’autres groupes de ransomwares.
” SophosLabs estime que la gravité du risque posé par les ransomwares qui s’exécutent en mode sans échec ne doit pas être sous éstimée, et que nous devions publier ces informations comme un avertissement pour le reste de l’industrie de la sécurité, ainsi que pour les utilisateurs finaux”, , a déclaré Andrew Brandt, chercheur de logiciels malveillants et expert en réseaux chez Sophos dans un rapport publié aujourd’hui.
publicité
Snatch et la chasse au gros gibier
Les chercheurs de Sophos disent que c’est la dernière astuce du groupe Snatch, mais pas la première. Ce groupe de ransomware particulier fonctionne depuis l’été 2018, mais à ce jour, très peu ont entendu parler de cette souche.
Cela est dû au fait que l’équipe de Snatch n’a jamais ciblé les utilisateurs à domicile et n’a jamais utilisé de méthodes de distribution de masse telles que des campagnes de spam par courrier électronique ou des kits d’exploitation basés sur un navigateur – deux canaux de distribution qui ont tendance à attirer beaucoup l’attention des entreprises de cybersécurité.
Au lieu de cela, le groupe Snatch n’a visé qu’une petite liste de cibles soigneusement sélectionnées, telles que des entreprises et des organisations publiques ou gouvernementales.
Ce type de ciblage et de méthodologie est connu dans le domaine de la cybersécurité sous le nom de «chasse au gros » et est une stratégie qui a été largement adoptée par plusieurs équipes de ransomwares aujourd’hui.
L’idée derrière la chasse au gros est qu’au lieu d’aller après les petites rançons que les auteurs de logiciels malveillants peuvent tirer des particuliers, les escrocs s’en prennent aux grandes sociétés et aux organisations gouvernementales, d’où ils peuvent demander des rançons bien plus importantes. Les ransomwares comme Ryuk, SamSam, Matrix, BitPaymer et LockerGoga sont les outils représentatifs de cette technique.
Le groupe Snatch recrute sur les forums
Tous les groupes de ransomwares répertoriés ci-dessus ont leur propre méthodologie pour s’attaquer aux réseaux de leurs cibles respectives, tout comme Snatch.
Selon Sophos, le groupe achète l’accès au réseau d’une entreprise. Les chercheurs disent avoir retrouvé les publicités que l’équipe Snatch a publiées sur les forums de piratage, des publicités destinées à recruter des partenaires pour leur projet.
Selon une traduction de l’annonce, l’équipe Snatch “recherchait des partenaires affiliés ayant accès à RDP \ VNC \ TeamViewer \ WebShell \ SQL inj [injection SQL] dans des réseaux d’entreprise, les magasins et d’autres sociétés”.
Une fois entrés, ils ne se précipitent pas immédiatement pour installer le ransomware et chiffrer les fichiers. Au lieu de cela, Snatch est parfois resté dans une entreprise piratée pendant des jours, voire des semaines. Les pirates prennent leur temps et étendent lentement l’accès aux contrôleurs de domaine internes, d’où ils s’attaquent à autant d’ordinateurs que possible.
Pour ce faire, l’équipe Snatch a utilisé des outils d’administration système légitimes et des kits d’outils de test de pénétration pour faire le travail, des outils tels que Cobalt Strike, Advanced Port Scanner, Process Hacker, IObit Uninstaller, PowerTool et PsExec. Étant donné qu’il s’agit d’outils courants, la plupart des produits antivirus ne declenchent aucune alarme.
Une fois que Snatch a tous les accès dont ils ont besoin, ils ajoutent la clé de registre et le service Windows qui démarre Snatch en mode sans échec sur tous les hôtes infectés, et forcent un redémarrage de tous les postes de travail – redémarrage qui commence le processus de chiffrement des fichiers.
Vol de données clients
En outre, Sophos explique que contrairement à la plupart des gangs de ransomwares qui se concentrent principalement sur le chiffrement de fichiers et la demande de rançons, ils ont également trouvé des preuves que l’équipe de Snatch s’était également impliquée dans le vol de données.
Cela rend Snatch unique et très dangereux, car les entreprises risquent également de perdre leurs données vendues ou divulguées en ligne à une date ultérieure, même si elles ont payé la rançon et décrypté leurs fichiers.
Mais analyser le réseau interne d’une entreprise pour trouver les fichiers à voler prend du temps, et c’est probablement la raison pour laquelle Snatch n’a pas fait autant de victimes que les autres groupes de “chasse au gros”. Le nombre de victimes de Snatch est très faible.
Coverware, une société spécialisée dans les négociations d’extorsion entre les victimes de ransomware et les attaquants, a déclaré à Sophos qu’ils avaient géré en privé le paiement de rançon pour les infections par rançongiciel Snatch à 12 reprises entre juillet et octobre 2019. Les paiements variaient de 2000 $ à 35000 $, a déclaré Coverware.
Jusqu’à aujourd’hui, le seul cas public connu d’infection par un rançongiciel Snatch était SmarterASP.NET, une société d’hébergement Web qui comptait environ 440 000 clients.
Sophos recommande aux entreprises de sécuriser les ports et les services exposés sur Internet à l’aide de mots de passe forts ou d’une authentification multifacteur.
Source : ZDNet.com
Comments