Presque à l'image d'un organisme humain, les ransomwares s'adaptent aussi à leur environnement. Un peu aidés par les opérateurs malveillants qui sont aux manettes comme dans le cas de REvil (aka Sodinokibi). Après avoir ajouté un mode de chiffrement des fichiers sans échec afin de déjouer les capacités de surveillance et de protection des logiciels de sécurité des entreprises, ce groupe de cybercriminels a réalisé une dernière amélioration. Il existait jusqu'à présent un trou dans la raquette, à savoir que les pirates ne pouvaient entrer dans le mode sans échec en s'authentifiant manuellement.
Désormais, le processus de login du mode sans échec de chiffrement est automatisé. « Fin mars, un nouvel échantillon du ransomware REvil a été découvert par le chercheur en sécurité R3MRUM qui affine la nouvelle méthode de cryptage en mode sans échec en modifiant le mot de passe de l'utilisateur connecté », explique Bleeping Computer.
Des échantillons de REvil déjà améliorés
L'amélioration effectuée par les opérateurs malveillants permet au ransomware de changer le mot de passe de l'utilisateur en « DTrump4ever ». Le ransomware configure ensuite les valeurs de registre suivantes afin que Windows se connecte automatiquement avec les nouvelles informations de compte : [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon] "AutoAdminLogon" = "1" "DefaultUserName" = "[nom_compte]" "DefaultPassword" = "DTrump4ever".
Depuis 48h, des échantillons de rançongiciel REvil dotés de ce mot de passe ont déjà été identifiés sur VirusTotal. REvil a par ailleurs récemment indiqué que des attaques DDoS suivi d'envoi d'e-mails aux partenaires commerciaux des victimes au sujet de données volées si une demande de rançon était en cours.
Commentaire