Le ransomware REvil réussit aussi le chiffrement en mode sans échec



Le ransomware REvil réussit aussi le chiffrement en mode sans échec

Les opérateurs malveillants derrière le ransomware REvil ont amélioré la fonction de mode sans échec du chiffrement des fichiers. Désormais, elle prend en compte le changement de mots de passe Windows.

Presque à l'image d'un organisme humain, les ransomwares s'adaptent aussi à leur environnement. Un peu aidés par les opérateurs malveillants qui sont aux manettes comme dans le cas de REvil (aka Sodinokibi). Après avoir ajouté un mode de chiffrement des fichiers sans échec afin de déjouer les capacités de surveillance et de protection des logiciels de sécurité des entreprises, ce groupe de cybercriminels a réalisé une dernière amélioration. Il existait jusqu'à présent un trou dans la raquette, à savoir que les pirates ne pouvaient entrer dans le mode sans échec en s'authentifiant manuellement.


Désormais, le processus de login du mode sans échec de chiffrement est automatisé. « Fin mars, un nouvel échantillon du ransomware REvil a été découvert par le chercheur en sécurité R3MRUM qui affine la nouvelle méthode de cryptage en mode sans échec en modifiant le mot de passe de l'utilisateur connecté », explique Bleeping Computer.


Des échantillons de REvil déjà améliorés


L'amélioration effectuée par les opérateurs malveillants permet au ransomware de changer le mot de passe de l'utilisateur en « DTrump4ever ». Le ransomware configure ensuite les valeurs de registre suivantes afin que Windows se connecte automatiquement avec les nouvelles informations de compte : [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon] "AutoAdminLogon" = "1" "DefaultUserName" = "[nom_compte]" "DefaultPassword" = "DTrump4ever".


Depuis 48h, des échantillons de rançongiciel REvil dotés de ce mot de passe ont déjà été identifiés sur VirusTotal. REvil a par ailleurs récemment indiqué que des attaques DDoS suivi d'envoi d'e-mails aux partenaires commerciaux des victimes au sujet de données volées si une demande de rançon était en cours.




Pour plus d'information : https://www.lemondeinformatique.fr/actualites/lire-le-gang-du-ransomware-ziggy-veut-rembourser-ses-victimes-82427.html

Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram

Categories:

Company

Consulting

Formation

Support

Blog

Solutions

Société

À propos

Carrières

Partenariats

Partenaire

Symantec

Fortinet

Rapid7

BeyondTrust


UNIDEES®

Conditions d’utilisation

Déclaration de confidentialité

Déclaration de sécurité