REvil : comment fonctionne le rançongiciel le plus actif du moment ?

REvil est un programme malveillant de type ransomwares, qui à l’instar de Ryuk ou WastedLocker a beaucoup été utilisé dans plusieurs opérations malveillants.

Une fois que les cybercriminels réussissent à accéder au réseau informatique d’une organisation, ils utilisent un ensemble d’outils informatiques pour faire une cartographie du réseau et des systèmes informatiques ciblés. Par la suite, ils mettront tout en œuvre pour s’arroger le maximum de privilèges d’administrateur possible. C’est ainsi qu’ils arrivent alors à déployer le programme de rançonnage. « Puisque REvil est distribué par différents affiliés, les vecteurs d’accès initiaux diffèrent entre les e-mails de phishing avec des pièces jointes malveillantes aux informations d’identification RDP (Remote Desktop Protocol) compromises et l’exploitation des vulnérabilités dans divers services publics ». Lucian Constantin, CSO. L’année dernière par exemple, les cybercriminels qui utilisent ce programme malveillant ont utilisé une faille de sécurité déjà connu du système Oracle WebLogic (CVE-2019-2725).

Cet article va aussi vous intéresser : REvil : Focus sur le rançongiciel le plus populaire du moment

Selon le récent rapport produit par la société de sécurité Coveware, REvil est distribué principalement à travers :

– Des sessions RDP compromises (65%)

– L’hameçonnage (16%)

– Des failles de sécurité logicielles (8%)

Sur un blog russe, un pirate informatique sensé faire partir du groupe de cybercriminels opérateurs de REvil a affirmé que plusieurs affiliés du groupe utilisent principalement des attaques par force brute.

« REvil se distingue des autres programmes de ransomware par son utilisation de l’échange de clés Diffie-Hellman à courbe elliptique au lieu de RSA et Salsa20 au lieu d’AES pour crypter les fichiers. Ces algorithmes de chiffrement utilisent des clés plus courtes, sont très efficaces et incassables s’ils sont correctement mis en œuvre. Le ransomware tue certains processus sur les machines infectées, notamment les clients de messagerie, SQL et autres serveurs de base de données, les programmes Microsoft Office, les navigateurs et d’autres outils susceptibles de maintenir des fichiers importants verrouillés ou sauvegardés dans la RAM. Il supprime ensuite les Shadows copies Windows et autres sauvegardes pour empêcher la récupération de fichiers. » explique Lucian Constantin.

Selon les spécialistes en la matière, pour sécuriser les systèmes informatiques contre ce programme malveillant il faudra en prélude procéder à la sécurisation des accès à distance :

– L’utilisation des données d’identification assez solide est exigée.

– Il est par ailleurs recommandé d’utiliser expressément des réseau VPN pour les transmissions d’informations à distance, peu importe la nature de ces échanges.

– L’ensemble des applications ou serveurs dont l’accès est public doit être régulièrement mise à jour.

– Il doit être analysé et pris en compte tout ce qui peut sembler être des erreurs de configuration des comportements suspects ou des failles de sécurité pour une réponse immédiate efficace.

– Il faudrait une activation de manière permanente des solutions de protection contre les attaques par force brute. Il faudra donc trouver un moyen de bloquer toutes les demandes excessives des informations d’identification lorsqu’elles sont incorrectes.

En outre, il faudrait accorder au secteur hospitalier un intérêt assez particulier. « Certaines industries, comme la santé, peuvent sembler être plus fortement ciblées que d’autres, en raison des données sensibles qu’elles détiennent et de leur relative intolérance aux temps d’arrêt », ont noté lors de l’étude, les chercheurs de Coveware. « Cependant, ce que nous avons observé au fil du temps, c’est que la présence de vulnérabilités bon marché à exploiter, qui se trouvent être courantes dans une industrie donnée, est ce qui fait apparaître une concentration de l’industrie », ajoutent-ils.

Les chercheurs de la société de sécurité aussi préciser que certains secteurs tels que les cabinets juridiques ou comptables sont très vulnérables aux attaques de REvil. Un risque non négligeable lorsqu’on sert aux États-Unis ce genre de cabinets représente 14 % de l’ensemble des entreprises total du pays, avec près de 4,2 millions de sociétés enregistrées. Elle représente 25 % des attaques informatiques. « Ces entreprises sont plus susceptibles de prendre la menace des ransomwares moins au sérieux », affirme les chercheurs de Coveware. « Ils laissent généralement des vulnérabilités comme RDP ouvertes à Internet et sont victimes beaucoup plus régulièrement que les entreprises d’autres secteurs. Il est essentiel que les petites entreprises de services professionnels reconnaissent qu’il n’existe pas d’être « trop petit » pour être ciblé. L’industrie de la cyber-extorsion ne fonctionne pas comme ça. Si vous présentez une vulnérabilité bon marché à Internet, vous serez attaqué. C’est juste une question de quand, pas si. »

Accédez maintenant à un nombre illimité de mot de passe :