Des ransomwares qui chiffrent partiellement les fichiers ? On en a connu. Par exemple LockBit, qui a notamment touché Accenture. Ou DarkSide, utilisé contre Colonial Pipeline. On retrouve la technique chez LockFile, qui a émergé cet été. Mais avec un complément : du chiffrement par intermittence. En l’occurrence, un bloc de 16 octets sur deux.
Ce procédé permet de déjouer certaines méthodes d’analyse statique. Parmi elles, celle du khi-deux (χ²). Les signatures ci-dessous en témoignent.
LockFile ne dépend pas d’un serveur de commande. Il semble cibler les serveurs Exchanges en exploitant la faille ProxyShell, assortie d’un relais NTLM (via PetitPotam).
Comme Maze, le ransomware chiffre en mémoire cache. Dans une certaine mesure, cela constitue une autre technique d’évasion. D’une part, en minimisant les I/O disque. De l’autre, en laissant le soin à l’OS – et non pas au processus malveillant – d’écrire les fichiers chiffrés.
Parmi les autres éléments susceptibles de contourner les solutions de sécurité :
La note de rançon n’est pas au format texte, mais HTA (application HTML).
Photo d’illustration © kras99 – Adobe Stock
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement de BNP Paribas utilise l'IA pour proposer des stratégies d’investissement individualisées, en…
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…
Avec Phi-3-mini, Microsoft lance un SLM conçu pour attirer une clientèle disposant de ressources financières…
La Commission européenne serait sur le point d'approuver la proposition d'Apple visant à fournir à…
