Actualités
Actualités Tech

Un ransomware étrange se superpose au gros hack chinois


Quand Microsoft a révélé le premier jour de ce mois Espions chinois est allé sur un histoire de piratage, les observateurs ont des raisons de craindre que d’autres criminels ne conduisent bientôt les voitures de ce groupe. En fait, cela ne prend pas longtemps: une nouvelle gamme de ransomwares appelée DearCry a attaqué les serveurs Exchange en utilisant les mêmes vulnérabilités en premier lieu. 9 mars. Alors que DearCry était le premier sur les lieux, un examen plus approfondi s’est avéré être un canard de la cybercriminalité excentrique.

Pas parce que DearCry est unique. En fait, comparé à le bon fonctionnement engloutit le monde des ransomwares aujourd’hui, c’est en fait rudimentaire. D’une part, il est compréhensible de rester à l’écart d’un serveur de contrôle et de contrôle ainsi que des comptes à rebours automatiques en faveur d’une interaction humaine en face à face. Il manque des techniques de falsification de base qui rendent difficile la détection et le blocage par les gardiens du réseau à l’avance. Il crypte également certains types de fichiers, ce qui rend plus difficile pour les victimes de faire fonctionner leur ordinateur, voire de payer la rançon.

En règle générale, un attaquant de ransomware ne cryptera pas les exécutables ou les fichiers DLL, car cela découragera davantage leur utilisation, a déclaré Mark Loman, directeur de la technologie de nouvelle génération chez la société de sécurité Sophos. . « Un attaquant peut vouloir permettre à la victime d’utiliser un ordinateur pour transférer des bitcoins. »

Autre problème: DearCry partage certains attributs avec Envie de pleurerLe tristement célèbre ver ransomware s’est répandu de manière incontrôlable en 2017 jusqu’à ce qu’un chercheur en sécurité Marcus Hutchins a découvert un « kill switch » l’a désactivé immédiatement. Il y a un nom. Bien que pas si profond, DearCry partage certains aspects du comportement avec WannaCry. Ils font tous les deux une copie d’un fichier ciblé avant de l’écraser avec du texte dénué de sens. Et l’en-tête que DearCry ajoute aux fichiers compromis reflète l’en-tête de WannaCry de certaines manières.

Les similitudes sont là, mais cela ne vaut peut-être pas la peine d’être lu. «Il n’est pas rare que les développeurs de ransomwares utilisent des scripts d’autres ransomwares plus connus dans leur propre code», a déclaré Brett Callow, analyste des menaces au sein de la société antivirus Emsisoft.

La chose inhabituelle, a déclaré Callow, est que DearCry semblait avoir démarré rapidement avant de réussir et que les plus grands acteurs de l’espace ransomware ne semblaient pas encore avoir sauté dans les vulnérabilités du serveur Exchange.

Il y avait définitivement une déconnexion lors de la lecture. Les hackers derrière DearCry ont été très rapides à rétroconcevoir le hack chinois, mais ils ne semblent pas particulièrement habiles à créer des ransomwares. L’explication possible est simplement la question de l’ensemble des compétences applicables. «Le développement et la militarisation de logiciels d’exploitation sont un travail très différent du développement de logiciels malveillants», a déclaré Jeremy Kennelly, directeur principal des analyses chez Mandiant Threat Intelligence. «Il se pourrait que les acteurs qui ont armé très rapidement cet exploit n’étaient tout simplement pas connectés à l’écosystème de la cybercriminalité de la même manière que certains autres. Ils peuvent ne pas avoir accès à l’un des principaux programmes d’affiliation, ces familles de ransomwares plus robustes.

Pensez-y comme la différence entre un chef pâtissier et un chef pâtissier. Tous deux gagnent leur vie dans la cuisine, mais ils ont des compétences très différentes. Si vous êtes familier avec le steak mais que vous avez besoin de faire un petit 4, vous trouverez probablement quelque chose de comestible mais pas très élégant.

En ce qui concerne les défauts de DearCry, Loman a déclaré: « Cela nous porte à croire que cette menace est en fait créée par un débutant ou qu’il s’agit d’un prototype d’une nouvelle souche de ransomware. »

Cela ne veut pas dire que ce n’est pas dangereux. «L’algorithme de chiffrement semble être correct, mais il semble fonctionner», a déclaré Kennelly, qui a vérifié le code du malware mais n’a pas traité directement une infection. « C’est vraiment tout ce qu’il a à faire. »





Source link

Laissez un commentaire