La technique de contournement du ransomware RIPlace, découvert par des chercheurs en sécurité en novembre 2019, a maintenant été implémenté par la famille de rançongiciels Thanos.
C’est le premier cas de RIPlace utilisé par un ransomware. La technique repose sur quelques lignes de code pour Evadé avec succès des fonctions intégrées de protection ransomware, présents dans des solutions de sécurité et de Windows 10.
Le programme d'affiliation de Thanos comprend désormais le contournement RIPlace
Le rançongiciel Thanos s'est développé sous le modèle du rançongiciel en tant que service, et a gagné en popularité sur les forums clandestins. Malgré l'inclusion de cette technique de contournement, le ransomware n'affiche aucun comportement nouveau ou sophistiqué. Cependant, la simplicité du ransomware est la raison pour laquelle il gagne en popularité parmi les cybercriminels.
Le constructeur Thanos permet aux affiliés de cybercriminalité de créer des clients de ransomware avec diverses options, annoncé dans son programme d'affiliation Ransomware. Le constructeur est proposé sous forme d'abonnement mensuel ou à vie, dit Threatpost. La version «entreprise» à vie comprend des fonctionnalités supplémentaires, y compris les fonctionnalités de vol de données, la technique RIPlace, et capacités de mouvement latéral. Les chercheurs en sécurité ont observé plus de 80 différents clients proposés par le programme d'affiliation Thanos. RIPlace peut être activé par choix, entraînant la modification du processus de cryptage pour inclure la technique de contournement.
en relation: RIPlace Ransomware contourner la protection affecte Windows, Les vendeurs AV
En savoir plus sur RIPlace
La technique RIPlace a été découverte l'an dernier par plusieurs chercheurs en sécurité de Nyotron - Daniel Prizmant, Guy Meoded, Freddy Ouzan, et Hanan Natan. Les chercheurs ont contacté les fournisseurs de sécurité et Microsoft sur la question. Cependant, apparemment seulement deux fournisseurs ont pris les mesures nécessaires pour résoudre le problème et obtenir le produit visé.
Les autres sociétés semblaient croire que RIPlace n'était pas un «problème». entreprises concernées incluent des noms tels que Microsoft, Symantec, Sophos, Noir carbone, Trend Micro, McAfee, Kaspersky, Cylance, SentineOne, Malwarebytes, CrowdStrike, et pièges PANW. Kaspersky et Carbon Black sont les seules sociétés qui ont assuré leurs produits contre la technique de dérivation RIPlace. Cependant, l'implémentation actuelle de RIPlace dans une véritable famille de ransomwares prouve qu'il s'agit bien d'un problème qui mérite attention.
Quant au rançongiciel Thanos, il semble être en développement actif. Le ransomware a reçu des commentaires positifs des cybercriminels sur les forums clandestins, ce qui signifie qu'il continuera d'être armé lors d'attaques.