De RIPlace ransomware bypass-techniek, ontdekt door security onderzoekers in november 2019, is nu geïmplementeerd door de Thanos ransomware-familie.
Dit is het eerste geval van RIPlace wordt gebruikt door ransomware. De techniek is gebaseerd op slechts een paar regels code om met succes te omzeilen ingebouwde ransomware features bescherming, aanwezig in security-oplossingen en Windows 10.
Thanos partnerprogramma bevat nu de RIPlace Bypass
De Thanos-ransomware is ontwikkeld onder het ransomware-as-a-service-model, en is aan populariteit wint op ondergrondse forums. Ondanks het opnemen van deze bypass-techniek, de ransomware geen roman of verfijnde gedrag te vertonen. Echter, de eenvoud van de ransomware is de reden dat het aan populariteit wint onder cybercriminelen.
Met de Thanos-builder kunnen aangesloten bedrijven bij cybercrime ransomware-clients maken met verschillende opties, geadverteerd in het Ransomware Affiliate-programma. De bouwer wordt aangeboden als een maandelijks of levenslang abonnement, zegt Threatpost. De levenslange 'bedrijfs'-versie bevat extra functies, inclusief data-stealing functionaliteiten, de RIPlace-techniek, en laterale bewegingsmogelijkheden. Beveiligingsonderzoekers hebben meer waargenomen dan 80 verschillende klanten aangeboden door de Thanos Affiliate Program. RIPlace kan naar keuze worden ingeschakeld, resulterend in de wijziging van het coderingsproces met de bypass-techniek.
Verwant: RIPlace Ransomware Protection Bypass invloed op Windows, AV Vendors
Meer over RIPlace
De RIPlace techniek werd vorig jaar ontdekt door een aantal security onderzoekers van Nyotron - Daniel Prizmant, Guy Meoded, Freddy Ouzan, en Hanan Natan. De onderzoekers gecontacteerd security vendors en Microsoft over de kwestie. Echter, blijkbaar slechts twee leveranciers heeft de nodige stappen om het probleem aan te pakken en zet het betreffende product.
De andere bedrijven leken te geloven dat RIPlace een 'non-issue' is. Getroffen bedrijven zijn onder namen als Microsoft, Symantec, Sophos, Carbon zwart, Trend Micro, McAfee, Kaspersky, Cylance, SentineOne, Malwarebytes, Crowdstrike, en PANW Vallen. Kaspersky en Carbon Black zijn de enige bedrijven die hun producten beveiligd tegen de RIPlace bypass techniek. Echter, de huidige implementatie van RIPlace in een echte ransomware-familie bewijst dat het inderdaad een probleem is dat aandacht behoeft.
Wat betreft de Thanos-ransomware, het lijkt in actieve ontwikkeling te zijn. De ransomware heeft positieve feedback ontvangen van cybercriminelen op ondergrondse forums, wat betekent dat het zal blijven bewapenen bij aanvallen.