Une nouvelle version de GandCrab ransomware (GandCrab v5) a été publiée. GandCrab est une menace de rançon populaire qui est offerte aux affiliés dans le cadre du modèle de distribution de rançon-as-a-service. Les affiliés reçoivent une part des bénéfices de toute rançon payée par les individus qu’ils réussissent à infecter.
GandCrab est sorti pour la première fois en janvier 2018 et est rapidement devenu l’une des variantes de logiciels de rançon les plus utilisées. En juillet, il a été nommé la principale menace en matière de rançon et est régulièrement mis à jour par les auteurs.
Plusieurs modifications ont été apportées à GandCrab v5, y compris le passage à une extension aléatoire à 5 caractères pour les fichiers cryptés. Le ransomware utilise également une note de rançon HTML plutôt que de déposer un fichier .txt sur le bureau.
Bitdefender a publié des décrypteurs gratuits pour les premières versions du ransomware, bien que les auteurs aient pris des mesures pour améliorer la sécurité de la version 2.0. Depuis la sortie de la version 2.0, aucun décrypteur gratuit n’a été développé pour GandCrab Ransomware.
La récupération d’une infection GandCrab v5 ne sera possible qu’en payant la rançon – environ 800 $ dans la cryptomonnaie Dash – ou en restaurant les fichiers des sauvegardes. Les victimes ne disposent que d’un temps limité pour payer la rançon avant que le prix de décryptage ne double. Il est donc essentiel de créer des sauvegardes de toutes les données et de vérifier ces fichiers de sauvegarde pour s’assurer qu’ils peuvent être restaurés en cas de sinistre.
Étant donné que cette variante de ransomware est offerte dans le cadre du modèle de ransomware en tant que service, différents vecteurs sont utilisés pour distribuer le ransomware par différents acteurs de la menace. Les versions précédentes du ransomware ont été distribuées par courrier électronique non sollicité et au moyen de kits d’exploitation tels que RIG et GrandSoft. GandCrab v5 a également été confirmé comme étant distribué via le nouveau kit d’exploitation Fallout.
Le trafic est dirigé vers le kit d’exploitation à l’aide de publicité malveillante – des publicités malveillantes qui redirigent les utilisateurs vers les kits d’exploitation et autres sites web malveillants. Ces publicités malveillantes sont placées sur des réseaux publicitaires de tiers qui sont utilisés par de nombreux sites web populaires pour générer un revenu supplémentaire.
Tout utilisateur qui clique sur l’un des liens malveillants dans les publicités est redirigé vers le kit d’exploitation Fallout. Le kit d’exploitation Fallout contient des exploits pour plusieurs anciennes vulnérabilités et quelques failles relativement récentes. Tout utilisateur disposant d’un système vulnérable verra GandCrab ransomware téléchargé en silence sur son appareil. Les fichiers locaux seront cryptés ainsi que les fichiers de tous les partages réseau, et pas seulement les lecteurs mappés.
Chaque fois qu’une nouvelle vulnérabilité zero-day est découverte, il ne faut pas longtemps pour qu’un exploit soit incorporé dans un malware. La publication du code de validation de principe pour une vulnérabilité ALPC d’un planificateur de tâches n’a pas fait exception. En quelques jours, l’exploit avait déjà été adopté par des cybercriminels et incorporé dans des logiciels malveillants.
L’exploit de la vulnérabilité ALPC du planificateur de tâches permet d’exécuter des fichiers exécutables sur un système vulnérable avec des privilèges système et a été incorporé dans GandCrab v5. cet exploit est censé être utilisé pour effectuer des tâches au niveau système telles que la suppression des copies Windows Shadow Volume pour rendre la récupération des fichiers chiffrés plus difficile pour les victimes sans payer la rançon.
Microsoft a maintenant publié un correctif pour corriger la faille dans le cadre de sa série de mises à jour de septembre Patch Tuesday, mais de nombreuses entreprises n’ont pas encore appliqué le correctif.
L’étape la plus importante à franchir pour s’assurer qu’il est possible de se rétablir d’une attaque de logiciel en échange d’une rançon est de s’assurer que des sauvegardes sont créées. Sans une sauvegarde viable, le seul moyen de récupérer les fichiers est de payer la rançon.
Dans ce cas, les victimes peuvent décrypter gratuitement un fichier pour confirmer l’existence de clés de décryptage viables. Cependant, toutes les variantes de logiciels de rançon ne permettent pas la récupération des fichiers.
La prévention des infections par rançon nécessite des solutions logicielles qui bloquent les principaux vecteurs d’attaque. Les solutions de filtrage des spams telles que SpamTitan empêchent les messages malveillants d’être envoyés dans les boîtes de réception.
Les filtres web tels que WebTitan empêchent les utilisateurs finaux de visiter des sites malveillants connus pour héberger des kits d’exploitation. Les services de bureau à distance sont souvent exploités pour accéder au système, il est donc important qu’ils soient désactivés s’ils ne sont pas nécessaires, et s’ils le sont, ils ne devraient être accessibles que par l’intermédiaire des VPN.
Les correctifs doivent être appliqués rapidement pour empêcher l’exploitation des vulnérabilités et des solutions antimalware avancées doivent être déployées pour détecter et mettre en quarantaine les logiciels de rançon avant que les fichiers ne soient cryptés.