Cactus : grâce à une astuce infaillible, le nouveau ransomware réussit à échapper à la détection des antivirus.
Appelé Cactus, un nouveau ransomware sévit actuellement sur le Web. La particularité de ce malware réside dans sa capacité à se dissimuler des antivirus les plus sophistiqués. En activité depuis mars dernier, le malware vient seulement d’être découvert.
Cactus : souvenez-vous de ce nom de ransomware, car vous risquez d’en entendre de nouveau parler dans les prochains mois. Non pas que ce logiciel malveillant soit plus dangereux qu’un autre. Non, là où il se démarque des autres ransomwares, c’est par sa méthode de création et de déploiement.
Selon les experts en sécurité de Kroll, qui ont découvert Cactus, le malware “se chiffre essentiellement lui-même, ce qui le rend plus difficile à détecter et à l’aide à échapper aux antivirus et aux outils de surveillance du réseau”.
CACTUS SE CHIFFRE LUI-MÊME POUR MIEUX SE DISSIMULER
Tout l’intérêt de Cactus, c’est donc de se chiffrer lui-même. Comment est-ce possible ? Au départ, les auteurs de ce malware font appel à l’outil de compression gratuit 7-Zip. Une simple opération de compression permet dans un premier temps de créer un fichier tout ce qu’il y a de plus légitime. Mais le fichier original est remplacé par le malware, et l’exécutable est diffusé avec un marqueur spécifique qui lui permet de s’exécuter. Dès lors, le malware est capable de passer entre les mailles du filet des antivirus, puisqu’il ressemble à un simple fichier compressé.Le malware stocke ensuite des données dans le dossier C:\ProgramData\ntuser.dat, lesquelles seront lu par la suite via une commande -r. Et c’est via une autre commande, -i en l’occurrence, que les données, qui ont été au préalable chiffrées, seront ensuite décryptées.
Notez que le ransomware exploite des vulnérabilités connues des applications VPN de Fortinet. Une fois déployé sur un réseau, Cactus recherche des fichiers et lance une opération de chiffrement en multithread. Et comme la plupart des malwares, Cactus ne se contente pas de chiffrer les données de ses victimes : le malware les vole également. Les auteurs utilisent alors l’outil Rclone, qui leur permet de transférer les données vers le Cloud.
Comme à l’accoutumée, les auteurs du ransomware menacent leurs victimes de diffuser sur la place publique les informations récoltées. On ignore pour le moment à combien la demande de rançon s’élève, mais elle pourrait atteindre plusieurs millions de dollars selon Bleeping Computer.
Source : Bleeping Computer.
