Fabiansomware ou quand les pirates en ont marre !

  • septembre 2, 2016
  • 4 min read

blog_principal_apocalypse

La naissance d’Internet a également été synonyme de naissance de la cybercriminalité. Toutefois, n’ayons pas peur de le dire, 2016 est l’année des rançongiciels. De nouvelles familles apparaissent sur la toile chaque semaine, et l’Emsisoft Malware Lab se bat bec et ongles sur la ligne de front.

Il n’est donc pas rare que notre laboratoire soit la cible de propos haineux de la part des auteurs de rançongiciels. Cela a été le cas, il y a quelques mois d’ailleurs, car nous avons été capables de déjouer le travail d’amateur derrière la famille de rançongiciels répondant au nom d’Apocalypse. Depuis peu, un vrai vent de haine souffle directement et vise personnellement Fabian, notre directeur technique et le responsable du Malware Research Lab d’Emsisoft. Des commentaires peu reluisants ont été intégrés au cœur du logiciel malveillant Apocalypse, et la dernière création de ces cybercriminels se nomme même « Fabiansomware », en son honneur.

slack-imgs-2-com

Pourquoi nous prennent-ils pour cible ?

En ligne, Fabian est un chasseur de logiciels malveillants, doté d’un vrai sens de l’humour, qui partage des outils de déchiffrement et des conseils de sécurité en ligne. Chez Emsisoft, il est à la tête de notre labo anti-malware. Aidé de son équipe, il examine les nouvelles menaces, développe de nouvelles technologies de protection, adaptent celles existantes et veillent à ce que nos utilisateurs soient protégés contre les menaces malveillantes actuelles et futures.

Pourquoi cela prend une tournure personnelle

En juin 2016, nous avons publié un article après que notre labo a déjoué trois variantes d’Apocalypse et partagé un déchiffreur gratuit avec toutes les victimes d’Apocalypse. Depuis lors, le labo a mis à mal six nouvelles variantes.

slack-imgs-com

À présent, les auteurs du logiciel malveillant modifient le code de leur rançongiciel dans le but d’avoir toujours une longueur d’avance sur notre labo et d’autres chasseurs de logiciels malveillants en ligne. En ce moment, il nous faut une à deux heures pour déchiffrer toute nouvelle variante. Alors les insultes continuent de pleuvoir.

Elles sont d’ailleurs devenues tellement irrespectueuses que nous ne les partagerons pas dans ce billet. Mais, si vous êtes curieux, jetez un coup d’œil au compte Twitter de Fabian.

Le coup de foudre des créateurs d’Apocalypse pour le directeur de notre labo est tellement intense que, dans la nouvelle variante, l’adresse e-mail de contact est devenue [email protected]

En effet, par ce tour de passe-passe, ils essaient de faire croire que Fabian est à blâmer pour les dernières souches de rançongiciels sortis. Cela a marché un certain temps, comme vous pouvez le voir dans cette conversation musclée entre une victime des plus mécontentes et Fabian.

Quelques mots à propos d’Apocalypse

Le rançongiciel Apocalypse a fait son apparition le 9 mai 2016. Il arrive généralement à s’infiltrer sur les serveurs Windows mal configurés, aux mots de passe faibles, et exécutant le protocole Remote Desktop Service. Cela permet à un attaquant de forcer le système et d’y avoir accès. Ensuite, il peut facilement interagir avec celui-ci comme s’il y avait accès en personne. Malmener les bureaux à distance est devenu de plus en plus courant ces derniers mois, surtout lorsque les cybercriminels souhaitent exécuter des rançongiciels comme Apocalypse.

Les anciennes variantes s’installaient seules dans %appdata%\windowsupdate.exe et créaient une clé d’exécution appelée windows update aussi bien dans HKEY_CURRENT_USER que dans HKEY_LOCAL_MACHINE. Cette variante-ci utilise l’extension .encrypted. Une demande de rançon est créée pour chaque fichier sous la forme *filename*.How_To_Decrypt.txt. Les adresses e-mail [email protected]/[email protected]/[email protected]/[email protected] sont utilisées dans la demande de rançon.

Le 9 juin, une autre version d’Apocalypse a fait son apparition, utilisant d’autres localisation, nom de clé d’exécution et adresse e-mail. Le rançongiciel s’installe seul dans %ProgramFiles%\windowsupdate.exe et crée une clé d’exécution appelée windows update svc. L’adresse e-mail utilisée dans la variante est [email protected]

Le 22 juin, la dernière variante en date a été démasquée, présentant cette fois-ci bien des modifications. Au lieu d’utiliser windowsupdate, elle utilise comme nom firefox. Elle s’installe seule dans %ProgramFiles%\firefox.exe et crée une clé d’exécution appelée firefox update checker. La nouvelle extension est alors « .SecureCrypted » et le nouveau nom de la demande de rançon *filename*.Contact_Here_To_Recover_Your_Files.txt. L’adresse e-mail utilisée : [email protected]

Notre labo continue de trouver et déchiffrer les nouvelles souches.

slack-imgs-1-com

Mesures à prendre

La plus importante ligne de défense est la mise en place d’une politique de mots de passe qui sera appliquée sur tous les comptes utilisateurs ayant un accès au système à distance. Cela se rapporte aussi aux comptes peu utilisés, créés à des fins de test ou créés pas des applications.

Apocalypse et bien d’autres familles se propagent via Remote Desktop Protocol (RDP). Que vous soyez à la tête d’une petite entreprise ou d’une grande société, veillez à ce que vos ports RDP et de commande à distance soient sécurisés.

Encore mieux, désactivez totalement les services terminaux et les bureaux à distance si vous n’en avez pas besoin ou, tout du moins, utilisez des restrictions selon l’adresse IP et n’octroyez l’accès à ces services que depuis des réseaux sûrs.

Fran Rajewski

What to read next

Reader Comments