Posté le janvier 6, 2020 à 7:58
LE LOGICIEL DE RANÇON CLOP ÉVOLUE, IL PEUT MAINTENANT TERMINER 663 PROCESSUS WINDOWS
Le 2 octobre de l’année dernière, le FBI a mis en garde les organisations et les entreprises contre les logiciels malveillants détruisant les applications. Selon le FBI, la menace des logiciels de rançon a été mise à jour par des hackers pour la rendre plus difficile à détecter mais plus efficace dans l’attaque.
L’unité d’enquête a exhorté les organisations à se méfier de telles menaces pour leurs systèmes. Et l’état d’urgence récemment déclaré par la ville de la Nouvelle-Orléans est un bon indice que les logiciels de rançon constituent une grande menace pour les systèmes.
Le rançongiciel devient plus puissant
Le 23 décembre de l’année dernière, il y a eu une autre attaque de rançongiciel à l’Université de Maastricht, qui a infiltré presque tous les systèmes Windows. Maintenant, le FBI dit que le rançongiciel est encore plus puissant et dévastateur parce que les hackers l’ont amélioré.
Il a évolué pour devenir un danger encore plus grand pour les utilisateurs de Windows 10. De plus, les chercheurs en sécurité ont averti que le logiciel de rançon Clop a la capacité de mettre fin à environ 663 processus Windows 10 avant même que les processus de cryptage des fichiers ne commencent. Selon les chercheurs, le logiciel de rançon Clop peut paralyser plusieurs applications Microsoft Office et Windows 10 dans un court laps de temps.
Ce dernier a été découvert pour la première fois en mars de l’année dernière, sous la forme d’une simple modification du rançongiciel cryptoMix. A cette époque, il n’y avait rien de particulièrement extraordinaire à propos du logiciel malveillant. Cependant, le rançongiciel a soudainement cessé de cibler des machines Windows individuelles pour faire un travail plus dévastateur en ciblant des réseaux entiers. C’est alors que les chercheurs en cybersécurité ont commencé à s’intéresser plus sérieusement aux activités du logiciel de rançon.
À l’époque, les chercheurs pensaient que le groupe de hackers russe TA505 était responsable des attaques du Clop, y compris l’attaque contre l’Université de Maastricht le 23 décembre 2019.
Même avant cela, le cryptoMix avait causé beaucoup de dégâts, bien qu’à plus petite échelle.
Le logiciel de rançon Clop peut faire disparaître les éléments essentiels de la sécurité Microsoft
Alors qu’il faisait un rapport à Bleeping Computers le 22 novembre dernier, le chercheur en sécurité Lawrence Abraham a déclaré que Clop a maintenant mis à niveau au point de faire disparaître les éléments essentiels de la sécurité de Microsoft et de déstabiliser Windows Defender. Il a également affirmé que le logiciel de rançon est même capable de résister à la protection Anti-Rançongiciel de Malwarebyte sur Windows.
L’évolution du Clop comme une menace pour les applications Windows
Les acteurs de la menace ont souvent privilégié Windows 10 comme cible. Il y a eu une série d’attaques sur Windows 10, y compris le groupe Snatch qui a mis en œuvre le contournement du logiciel malveillant et le groupe APT comme Thallium. Microsoft a réussi à annuler la plupart de ces menaces, qui n’ont pas causé de gros dégâts.
Cependant, les acteurs qui ont poussé le logiciel malveillant Clop avaient consacré beaucoup de temps et d’efforts à rendre le logiciel malveillant plus adaptable et plus dévastateur pour les systèmes d’exploitation Windows.
En général, un logiciel de rançon normal tenterait de désactiver les logiciels de sécurité avant qu’ils n’essaient de causer des dégâts sur le système hôte. Mais le rapport de Bleeping Computer a révélé que Clop pouvait faire beaucoup plus que cela.
Le logiciel de rançon amélioré est capable de mettre fin à environ 663 processus Windows. Bien qu’il ne soit pas encore clair pourquoi il pourrait terminer certains de ces processus, Abrams, qui est le rédacteur en chef de Bleeping Computers, a signalé que le logiciel de rançon pourrait être à la recherche de fichiers de configuration cryptés pour certains de ces programmes. Cela pourrait également être dû au fait que les acteurs de la menace s’assurent que de nombreux fichiers sont fermés pour qu’ils soient cryptés avec succès.
Selon lui, les fichiers fermés les plus courants par le logiciel de rançon Clop comprennent SecureCRT, Snagit et le programme Calculator.
Abrams a également déclaré que le processus de fermeture du logiciel de rançon Clop est déraisonnablement élevé, avec différents types d’applications touchés. Lorsque des programmes tels que Word, Skype, PowerPoint, Edge, Calculator et Acrobat sont tous ciblés, cela indique clairement que les acteurs ciblent un balayage plus large.
Le pire, c’est que Clop ne supprime pas les fichiers par le biais d’un fichier batch Windows. Clop a plutôt intégré la fonctionnalité de terminaison dans le logiciel de rançon. Selon les chercheurs, c’est à ce moment-là qu’il peut faire des dégâts encore plus dévastateurs.
Comment maîtriser la menace que représente le logiciel de rançon Clop
Comme pour tout autre logiciel de rançon, la façon idéale de combattre la menace est d’être pleinement consciente et préparé. Lorsque les utilisateurs comprennent comment le logiciel malveillant fonctionne pour s’infiltrer dans le système, cela les aidera à mettre au point un mécanisme de défense plus approprié pour ce type de logiciel malveillant. Une autre pratique consiste à s’assurer que le système dispose des dernières mises à jour de sécurité. Il est également bon pour les utilisateurs d’étudier les activités de la plupart des logiciels malveillants car ils constituent des menaces pour un large éventail de systèmes et d’applications. Selon les chercheurs, lorsque les utilisateurs sont conscients des activités des logiciels malveillants, cela les aide à se préparer et à garder les logiciels malveillants hors de leur système.
