Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Ransomware « CoronaVirus » : mode opératoire et protection adéquate

mars 2020 par Ben Cohen, chercheur au Threat Labs de CyberArk

Ces dernières semaines, alors que le monde se concentre sur la maîtrise de la crise du COVID-19, les cybercriminels exploitent le nom Coronavirus ou COVID-19 pour mener des campagnes malveillantes. Le dernier malware en date s’appelle même « CoronaVirus ».

Selon Ben Cohen, chercheur au Threat Labs de CyberArk, il s’agit d’un nouveau type de ransomware qui se propage sur un site web de phishing, WiseCleaner[.]Best ; censé ressembler à WiseCleaner.com, qui fournit des utilitaires système gratuits pour Windows afin d’améliorer les performances d’un ordinateur.

« Selon nos recherches, ce ransomware est distribué avec un infostealer nommé KPot, également connu sous le nom de Khalesi, un infostealer populaire chez les hackers. Le malware se propage via un utilisateur visitant un faux site Web et téléchargeant le fichier malveillant - "WSHSetup.exe". Ce dernier est un gestionnaire de téléchargement (downloader), soit la première étape de l’infection. Il est généralement petit et préprogrammé pour télécharger et démarrer d’autres fichiers malveillants.

Le fichier malveillant du faux site télécharge ensuite KPot - un voleur d’informations qui se concentre sur l’exfiltration des identifiants de compte à partir de navigateurs web, de messageries instantanées, d’emails, de VPN, de RDP (Remote Desktop Protocal), de FTP (File Transfer Protocol), de crypto-monnaies et de logiciels de jeu – et, désormais, du rançongiciel CoronaVirus.

Après avoir exécuté KPot, le malware télécharge et exécute CoronaVirus. Le downloader essaie de télécharger le malware depuis trynda[.]Xyz. CoronaVirus chiffre les données de sa victime et exige une rançon plutôt basse (0,008 de bitcoin, environ 45 $), ce qui est atypique pour les ransomwares. Il procède par étape :

• Le ransomware chiffre les fichiers, supprime des sauvegardes de Shadow Copy et change leurs noms en coronaVi2022@protonmail.ch___%file_name%.%ext% ;
• Il renomme le drive CoronaVirus ;
• Il modifie ensuite la clé BootExcute sur HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager afin d’afficher la rançon au redémarrage (avant le chargement des fenêtres). La rançon s’affiche pendant 15 minutes ;
• Dans chaque répertoire où il chiffre un fichier, CoronaVirus crée un fichier texte nommé txt qui contient la rançon avec les détails de l’attaquant.

Une fois les fichiers chiffrés, CoronaVirus se supprime et redémarre la machine. Pour déployer certaines des fonctionnalités du rançongiciel, comme changer la clé de registre BootExcute et renommer le nom du drive, il doit disposer de privilèges élevés ; par conséquent, il doit s’exécuter en tant qu’administrateur. Une stratégie du moindre privilège permet par conséquent de contenir l’attaque.

Grâce aux outils à notre disposition, nous avons constaté que des capacités avancées de protection contre le vol d’identifiants peuvent détecter et bloquer l’infostealer KPot et donc protéger les données de connexion de l’utilisateur. Cette approche proactive ne dépend pas de la capacité à détecter un nouveau type de malware : l’outil traite toutes les applications inconnues comme potentiellement suspectes et protège les informations en conséquence.

Il est également important de noter que ces attaques sont basées sur l’ingénierie sociale, donc les techniques de prévention de base s’appliquent également ici. Notamment, éviter de cliquer sur des URL inconnues ou d’ouvrir des pièces jointes suspectes ; et s’assurer qu’il existe des sauvegardes et que les systèmes disposent des dernières mises à jour de sécurité. »


Voir les articles précédents

    

Voir les articles suivants