Infos

Diffusion du ransomware Matrix via des liens malveillants

Le malware Matrix qui avait disparu pendant un certain temps a été remarqué dans une des récentes campagnes EITest. Brad Duncan, chercheur à Palo Alto, a identifié des cas de diffusion du malware via le kit d’exploitation RIG, alors qu’avant, le rythme et l’ampleur de la diffusion de Matrix ne pouvaient en rien se comparer avec ceux de malwares tels que Cerber et Spora. Cet élément a attiré l’attention de l’expert qui a étudié attentivement l’exemplaire et qui a pu découvrir ainsi une capacité de diffusion automatique.

La nouvelle version de Matrix est capable d’infecter d’autres ordinateurs en se propageant via des liens malveillants. Il peut aussi charger sur le serveur d’attaque des informations sur les types de fichiers qu’il a chiffrés.

Le malware se propage via des sites compromis suite à une infection par le script EITest. Dès que l’iframe RIG est chargé sur l’ordinateur, le kit d’exploitation tente d’exploiter les applications vulnérables et d’installer Matrix.

Pour se propager aux autres ordinateurs du réseau, Matrix masque le dossier pendant le chiffrement des fichiers et crée un lien portant le même nom, puis copie le fichier exécutable du ransomware qu’il enregistre sous desktop.ini dans le dossier original déjà masqué.

Par exemple, le malware peut masquer le dossier « Documents » et créer le lien correspondant. L’utilisateur ouvre ce dossier et y enregistre des fichiers quelconque sans se douter de rien car tout semble fonctionner normalement. Pendant ce temps, Matrix copie le fichier desktop.ini qui est en réalité le fichier exécutable du malware dans %Temp%\OSw4Ptym.exe, puis l’exécute. Le malware peut ainsi s’introduire dans d’autres ordinateurs via des disques réseau ou amovibles.

Les chercheurs ont également observé que Matrix bénéficie de mises à jour fréquentes et que chaque nouvelle version affiche des caractéristiques différentes, que ce soit au niveau des fichiers à chiffrer, des adresses email de contact ou du texte de la demande de rançon. Les experts estiment que Matrix va continuer à évoluer.

Matrix contacte souvent le serveur de commande et l’informe de l’état d’avancement du chiffrement. Le malware charge les statistiques relatives aux types de fichiers à chiffrer sur le serveur, à l’instar de Spora, et dispose de différentes exigences quant à l’ampleur de la rançon en fonction du type de fichier chiffré.

De plus, Matrix supprime Shadow Volume Copies afin d’exclure la possibilité de revenir à l’état antérieur aux modifications et de restaurer le système à l’état qu’il avait avant l’infection.

Dans le texte du message affiché à l’écran à l’issue du chiffrement, les individus malintentionnés signalent que la rançon augmente de 100 dollars toutes les 12 heures au cours du délai imparti. Les victimes disposent d’un maximum de 96 heures. A l’issue de ce délai, les fichiers sont supprimés définitivement.

Source : Threatpost

Diffusion du ransomware Matrix via des liens malveillants

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception