Pour faire sauter l’antivirus de votre ordinateur Windows, les cybercriminels se servent de plus en plus d’outils d’administration légitimes. Ces outils permettent aux hackers d’agir sans se faire repérer.
Les chercheurs de Seqrite ont découvert que des cybercriminels exploitent des outils légitimes de Windows pour orchestrer des attaques par ransomware. Selon les experts, les pirates ont trouvé le moyen de désactiver l’antivirus d’un ordinateur pour arriver à leurs fins sans se retrouver face à un mur.
Parmi les outils qui sont massivement détournés par les hackers, on trouve des logiciels d’administration, essentiellement destinés aux équipes IT. Ils servent notamment à gérer des processus, débloquer des fichiers ou intervenir sur le système. Le rapport de Seqrite évoque par exemple Process Hacker, IOBit Unlocker, PowerRun, AuKill, YDArk ou encore TDSSKiller. Des « utilitaires autrefois considérés comme fiables sont désormais devenus certains des facilitateurs les plus dangereux d’attaques informatiques », explique Seqrite.
À lire aussi : Lockbit est de retour en force avec une 5e version de son ransomware
Comment les rois du ransomware exploitent des outils Windows légitimes ?
Selon les investigations menées par Seqrite, plusieurs géants du ransomware, comme LockBit 3.0, BlackCat, Dharma, Phobos ou MedusaLocker, ont pris l’habitude de détourner les outils d’administration de Windows. Les pirates vont même jusqu’à inclure les outils, initialement légitimes, dans leurs kits de piratage prêts à l’emploi. Ces kits sont vendus aux hackers par le biais d’abonnements.
Les cybercriminels suivent généralement un plan en plusieurs étapes pour pirater un système. Ils commencent par faire du repérage : ils regardent comment l’entreprise est configurée, où les mots de passe sont les plus faibles, et quels logiciels de sécurité sont mal réglés ou pas à jour. Ensuite, ils vont désarmer les protections de la machine , en particulier l’antivirus, « sans déclencher d’alerte ». Ils vont se servir d’outils comme IOBit Unlocker ou TDSSKiller pour supprimer les fichiers des solutions de sécurité et désactiver tous les composants qui tournent en arrière‑plan. En faisant le ménage dans les fichiers et les composants de l’antivirus, ils vont l’empêcher de se relancer au prochain démarrage de la machine.
« Des outils créés pour résoudre des problèmes peuvent tout aussi bien devenir des armes idéales pour démanteler la sécurité, sans déclencher la moindre alerte », déclarent les chercheurs.
Une fois les défenses tombées, ils passent à la deuxième phase du plan. Les pirates vont voler les mots de passe dans la mémoire et implanter des virus au plus bas niveau de Windows pour passer sous le radar. In fine, ils sont en mesure de déployer le ransomware sur la machine sans alerter l’antivirus. En « neutralisant ces protections, les attaquants créent une zone silencieuse où le ransomware peut tourner sans être détectés ». Avant de partir, ils nettoient les journaux et les traces techniques, afin de compliquer le travail des enquêteurs et de rendre l’attaque plus difficile à comprendre.
L’utilisation de plus en plus massive d’outils légitimes dans les attaques par ransomware complique fortement la tâche des experts en sécurité et des antivirus. La plupart des outils d’administration exploités passent en effet sous les radars des politiques de sécurité classiques. C’est pourquoi les pirates s’en servent de plus en plus pour arriver à leurs fins. Pour lutter contre la tendance, les chercheurs de Seqrite recommandent aux solutions de sécurité de traquer les comportements anormaux, plutôt que de se concentrer sur l’identification de logiciels.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
Seqrite