Des ransomwares qui chiffrent partiellement les fichiers ? On en a connu. Par exemple LockBit, qui a notamment touché Accenture. Ou DarkSide, utilisé contre Colonial Pipeline. On retrouve la technique chez LockFile, qui a émergé cet été. Mais avec un complément : du chiffrement par intermittence. En l’occurrence, un bloc de 16 octets sur deux.
Ce procédé permet de déjouer certaines méthodes d’analyse statique. Parmi elles, celle du khi-deux (χ²). Les signatures ci-dessous en témoignent.
LockFile ne dépend pas d’un serveur de commande. Il semble cibler les serveurs Exchanges en exploitant la faille ProxyShell, assortie d’un relais NTLM (via PetitPotam).
Comme Maze, le ransomware chiffre en mémoire cache. Dans une certaine mesure, cela constitue une autre technique d’évasion. D’une part, en minimisant les I/O disque. De l’autre, en laissant le soin à l’OS – et non pas au processus malveillant – d’écrire les fichiers chiffrés.
Parmi les autres éléments susceptibles de contourner les solutions de sécurité :
La note de rançon n’est pas au format texte, mais HTA (application HTML).
Photo d’illustration © kras99 – Adobe Stock
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…