Focus sur le rançongiciel qui déjoue les mesures de sécurité

C’est un programme informatique qui fut découvert en début de cette année précisément durant le mois de janvier.

Il se fait appeler Thanos, en hommage au supervilain des films de Marvel. Selon les autorités chargées de lutter contre la cybermalveillance, il aurait été développé par un groupe de cybercriminels du nom de Nosophoros. Sa particularité réside dans le fait qu’il est capable de contourner les mesures de sécurité implantées dans un réseau ou un système informatique, pouvant aller jusqu’à désactiver cette protection. Une capacité très rare reposant sur l’utilisation d’une technique de type RIPlace. Ajouté au fait que Thanos est un programme de rançonnage, les dégâts qu’il peut causer est assez impressionnant.  Du tronc commun du rançongiciel Thanos, il a été développé par les cybercriminels les classes Crypto et Program.

Cet article va aussi vous intéresser : Tycoon, le nouveau rançongiciel qui menace Windows et Linux

Avec une tel pion dans le jeu, la cybercriminalité est devenue comme un jeu du chat et de la souris entre les responsables de la sécurité des systèmes des informations et les hackers malveillants. Et malheureusement pour les responsables de la sécurité, la souris est très difficile à intercepter voire à neutraliser.

Notons par ailleurs que la découverte en janvier 2020 de ce rançongiciel a été faite par Inskit Group, un conglomérat œuvrant dans la cyberdéfense, et l’a porté à la connaissance du monde dans un rapport où il décrit comment fonctionnement ce programme malveillant. Selon Inskit Group, les cybercriminels à l’origine de ce programme malveillant le mettaient en vente sur le dark web, sous la forme d’une version personnalisable, pouvant aller jusqu’à 43 configuration disponible. De sortes à adapter son utilisation aux besoins des cybercriminels qui seraient tentés par ce programme. Le plus impressionnant dans tout ceci, c’est que les pirates informatiques du groupe Nosophoros ne contentent pas tout simplement de vendre le programme informatique, mais vont aussi professionnaliser leur commerce illicite en proposant un service après-vente, d’accès à un modèle de distribution particulier, souvent suivi d’offre de mise à jour permettant d’apporter plus de fonctionnalités au programme malveillant. « Le client Thanos est simple dans sa structure et ses fonctionnalités générales. Il est écrit en C # et est facile à comprendre malgré son offuscation [consistant à rendre un exécutable ou un code source illisible et difficile à comprendre par un être humain ou un dé compilateur, NDLR], et bien qu’il intègre des fonctionnalités plus avancées telles que la technique RIPlace », note Inskit Group.

Notons par ailleurs par ailleurs que Thanos intègre dans son tronc, près de 12 ans à 17 classes comme Program, Crypto, NetworkSpreading, Wake on LAN, permis tant d’autres, et variant selon la demande des clients.

Comme nous l’avons décrit un peu plus haut, grâce à la technique de RIPlace qui est embarqué dans ce rançongiciel, il lui est permis de contourner les systèmes de sécurité mise en place pour protéger les systèmes et même les réseaux. Qu’il s’agisse de pare-feu au même des solutions antivirus, ce programme peut les désactiver pour continuer ce pourquoi il été exécuté. « Avec les meilleures pratiques de sécurité telles que l’interdiction des connexions FTP externes et la mise sur liste noire des outils de sécurité offensifs connus, les risques associés aux deux composants-clés de Thanos – Data Stealer et Lateral Movement (via l’outil SharpExec) – peuvent être évités », souligne Inskit Group.

Des spécialistes de la sécurité informatique Kaspersky Carbon Black ont de leur côté mentionné qu’ils travaillent chacun sur un moyen de corriger la faille de sécurité RIPlace. « Le client Thanos utilise AES-256 en mode CBC pour chiffrer les fichiers utilisateur. La clé utilisée pour le chiffrement AES est dérivée d’un mot de passe et d’un sel qui se fait à travers l’appel de fonction Windows rfc2898DeriveBytes. Une fois que le client Thanos s’est servi de cette clé pour chiffrer tous les fichiers qu’il découvre, il recourt à une clé publique RSA 2048 intégrée pour crypter le mot de passe AES utilisé. La chaîne base64 de ce mot de passe chiffré est ajoutée à la note de rançon, demandant à la victime d’envoyer la chaîne de mot de passe chiffrée aux acteurs de la menace pour déchiffrer leurs fichiers. La clé privée associée à la clé publique utilisée pour chiffrer le mot de passe est nécessaire pour déchiffrer le mot de passe AES. Seul l’opérateur qui a créé le client Thanos doit avoir accès à la clé privée », déclarait par ailleurs en outre Inskit Group.

En outre, si aujourd’hui la technique RIPlace est devenue une vulnérabilité pour le système de défense informatique, c’est parce que depuis le début, elle a été négligée par les éditeurs de solutions de défense et d’autres fournisseurs de logiciels. En effet en fin d’année 2019, Nyotron en faisait objet d’un POC. Certains fournisseurs tel que Microsoft avaient été prévenus. Mais ces derniers ne l’ont pas considéré sur le moment comme une vulnérabilité, à l’exception de Carbon Black et Kaspersky, qui n’ont pas hésité à mettre à niveau leurs solutions de sécurité. Et dès 2020, les cybercriminels se sont rués sur la darkweb pour profiter de l’opportunité.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage