Ce rançongiciel s’installe sous la forme d’un service Windows persistant. En provoquant un redémarrage en mode sans échec, il désactive les antivirus. Il peut alors procéder tranquillement au chiffrement des données.
Les chercheurs en sécurité de Sophos viennent d’analyser un ransomware plutôt sophistiqué. Baptisé « Snatch », il s’appuie sur une fonctionnalité bien connue de Windows pour échapper aux antivirus : le démarrage en mode sans échec. En effet, le logiciel malveillant s’installe d’abord sous la forme d’un service persistant dans le registre de Windows. Il se camoufle sous les traits d’un logiciel de sauvegarde intitulé « SuperBackupMan ». Un texte de description indique même : « Ce service fait des sauvegardes tous les jours ».
Une fois installé, ce logiciel provoque un redémarrage en mode sans échec de la machine infectée. Dans ce mode, le système Windows ne lance qu’un minimum de logiciels. L’avantage, c’est que le service persistant « SuperBackupMan » va toujours s’exécuter, mais pas les antivirus. Ces derniers ne pourront donc pas détecter le chiffrement des données que le malware va entreprendre. Une astuce qui, pour l’instant, n’a pas encore été vue chez d’autres rançongiciels.
Les pirates qui opèrent Snatch sont de vrais professionnels et ciblent avant tout des entreprises. Le ransomware n’est déposé qu’après une phase de reconnaissance plus ou moins longue, permettant aux hackers d’identifier les équipements les plus critiques dans le réseau informatique de l’organisation. Dans le cas précis d’une entreprise internationale, les chercheurs ont ainsi pu identifier la présence de logiciels d’espionnage sur plus de 200 machines, soit 5 % du parc informatique. Le montant de la rançon varie entre 2 000 et 35 000 dollars, en fonction de l’entreprise ciblée. C’est ce qui ressort des négociations entreprises par une douzaine de victimes entre juillet et octobre dernier.
Découvrir en vidéo
Les pirates de Snatch sont probablement d’origine russe. C’est en tous les cas la langue qu’ils utilisent dans les forums de discussion. Pour pénétrer les réseaux informatiques de leurs victimes, ils utilisent des méthodes d’attaque par force brute appliquées à des services faiblement sécurisés. Dans un cas précis, ils ont par exemple réussi à casser le mot de passe administrateur d’un serveur Microsoft Azure, qu’ils ont utilisé comme tremplin pour accéder au contrôleur de domaine. Au passage, les pirates en profitent pour également voler des données sensibles. Bref, ces gens sont efficaces… et particulièrement méchants.
Source : Sophos