Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vade Retro : Nouveau ransomware Satana

juillet 2016 par Vade Retro Technology

Vade Retro, éditeur français spécialiste de la protection des boîtes de messagerie, propose son analyse du nouveau ransomware, baptisé Satana, découvert par la société américaine, Malwarebytes :

Régis Benard, Consultant technique de Vade Retro délivre son avis* sur cette nouvelle forme de malware : « La diffusion de ce ransomware Satana ressemble à une phase de tests réalisée par ses auteurs, car les bots utilisés sont toujours de même nature (necurs) et tout porte à croire que les auteurs cherchent à faire évoluer leur « offre ». Une diffusion de malware d’un nouveau genre est attendue par les analystes car la méthode Locky a fait son temps et doit être renouvelée. En parallèle, nous constatons aujourd’hui des creux très nets dans les vagues massives de malwares qui semblent s’interrompre sans raison évidente. La raison de ces creux ne serait elles pas tout simplement le besoin d’utiliser les machines infectées afin de tester les nouvelles formes de malware ? Reconfigurer les outils de générations, les templates et les serveurs C&C peut prendre en effet un certain temps ».

Il ajoute : « Satana est probablement le prélude d’une nouvelle forme de malware post-Locky, une version évoluée capable de combiner plusieurs actions (crypter les fichiers et remplacer le MBR). Il s’agit d’une évolution assez logique de ce type de malware qui s’enrichit de nouvelles fonctions, comme ont pu le faire en leur temps les innombrables malware polymorphes (issus eux aussi de plusieurs mutations/évolutions) ».

*Régis Benard précise baser ces affirmations sur les volumétries des vagues récentes de ransomware discontinues (environ 15 jours d’accalmie pour 15 jours de diffusions massives) observées par Vade Retro.

Florian Coulmier, Responsable Production & Cybercriminalité de Vade Retro, appuie sur l’évolution de la menace liée aux ransomwares et fait le point sur les toutes dernières innovations technologiques de Vade Retro pour s’adapter aux dernières techniques des cybercriminels :

« Après l’année 2015 que nous avons connu, il faut s’attendre à une multiplication des ransomwares car c’est un business model très rentable. Les groupes de cybercriminels migrent petit à petit vers cette nouvelle activité pour récupérer de l’argent. Le nombre de variantes de ransomware va donc augmenter et la technicité de ces ransomwares va également être croissante pour arriver à des ransomwares plus difficilement détectables et contournables. Ce ransomware Satana est une évolution de Petya qui était lui-même une évolution de Locky, lui même une évolution de Dridex. Mais nous sommes bien face à un nouveau genre de malware et désormais il faudra s’attendre à voir régulièrement un nouveau ransomware faire l’actualité. »

Il ajoute : « Les éditeurs de solutions antivirus ont du travail pour identifier ces nouvelles menaces en permanence. En revanche, les solutions que nous fournissons chez Vade Retro permettent de se protéger des ransomwares avant même que ceux-ci n’aient été identifiés. Nous travaillons sur plusieurs éléments pour cela :

• L’analyse de l’email reçu (sa réputation, sa méthode d’envoi, son volume d’envoi, etc.). Sans même avoir besoin d’analyser la pièce jointe, nous sommes capables d’identifier qu’un email est illégitime et le filtrer.

• L’analyse de la pièce jointe qui n’est pas le virus directement, mais un dropper (fichier permettant de télécharger ensuite le virus). Les droppers sont souvent des documents word contenant des macros ou des fichiers .js. Grâce à une analyse heuristique, nous sommes en mesure d’identifier des éléments qui sont généralement utilisés dans des mails dangereux et les bloquer.

• L’analyse des liens contenus dans l’email afin d’identifier le contenu vers lequel un email tenterait de rediriger une personne. Il arrive que l’email ne contienne aucune pièce jointe mais seulement à lien pour aller télécharger le virus.

L’activité des virus est en forte variation. Les mois de mars et de mai ont été particulièrement chargés avec respectivement 10 millions et 8,5 millions de virus bloqués sur notre plate-forme Vade Retro Cloud, sur un total d’environ 40 millions d’emails légitimes (soit 25% du trafic). Les autres mois, le nombre de virus bloqués était d’environ 1 million par mois ! ».


Voir les articles précédents

    

Voir les articles suivants