Le ransomware Snatch déjoue la sécurité en utilisant un redémarrage discret en mode sans échec

Ransomwares

L’équipe Sophos MTR (Managed Threat Response) a alerté le secteur de la cybersécurité au sujet d’une nouvelle astuce utilisée par de dangereux ransomwares : à savoir le chiffrement des données uniquement après le redémarrage des PC Windows en “mode sans échec”.

snatch

Cette technique, déployée récemment par le ransomware “Snatch” développé en Russie et ayant reçu comme nom le titre du film sorti en 2000, s’avère efficace contre de nombreux logiciels de sécurité protégeant les systèmes endpoint, qui ne se chargent souvent pas lorsque le mode sans échec est en cours d’utilisation.

Et ce malgré le fait que dans les attaques observées sur le terrain et analysées par MTR, Snatch démarre pourtant comme de nombreuses autres campagnes de ransomware ciblant actuellement des réseaux professionnels.

Les attaquants recherchent des ports RDP (Remote Desktop) faiblement sécurisés pour se frayer un chemin au sein des serveurs Azure, une position privilégiée qu’ils utilisent ensuite pour se déplacer latéralement vers les contrôleurs de domaine Windows, passant souvent des semaines à effectuer des opérations de repérage.

Par exemple, dans une attaque réseau, les attaquants ont installé le ransomware sur environ 200 machines à l’aide du command and control (C2) et après avoir utilisé un stock d’outils légitimes (Process Hacker, IObit Uninstaller, PowerTool, PsExec, Advanced Port Scanner) ainsi que d’autres outils leur appartenant.

Le même profil logiciel a été détecté dans d’autres attaques aux États-Unis, au Canada et dans plusieurs pays européens, qui exploitaient également un RDP vulnérable et exposé.

Une astuce toute simple, mais redoutable

Il faut savoir que Snatch a toujours le même challenge que tous les autres ransomwares : à savoir déjouer la protection mise en place par les logiciels présents sur les systèmes en question.

Son approche consiste à charger un service Windows appelé SuperBackupMan qui ne peut pas être arrêté ou suspendu, lequel ajoute une clé de registre garantissant que la cible démarrera en mode sans échec lors de son prochain redémarrage.

Ce n’est qu’après ce redémarrage, qui permet de mettre la machine en mode sans échec, que Snatch exécute une routine qui supprime les ‘volume shadow copies Windows’, après quoi il chiffre tous les documents qu’il détecte au niveau de sa cible.  L’utilisation du mode sans échec pour contourner la sécurité a ses avantages et ses inconvénients.

L’avantage est que dans de nombreux cas, cette technique fonctionne : en effet, les logiciels de sécurité, qui ne s’attendent pas à être confrontés à ce type d’approche, sont facilement contournés.

L’inconvénient est qu’il doit systématiquement exécuter son service Windows malveillant, qui repose sur la violation des contrôleurs de domaine pour le distribuer aux cibles à l’intérieur du réseau.

Le redémarrage en mode sans échec ne permettra tout de même pas de contourner la connexion Windows, donnant ainsi en théorie à un utilisateur averti une chance de se défendre et d’arrêter le processus de chiffrement.

Néanmoins, cela n’a pas empêché Snatch de remporter de nombreux succès. Coveware, une entreprise spécialisée dans la négociation des demandes de rançon, a déclaré à Sophos qu’elle avait agi pour le compte d’entreprises dans 12 incidents entre juillet et octobre, impliquant le paiement de rançons en bitcoins entre 2 000 et 35 000 dollars (soit entre 1800 et 31 000 euros).

Les attaques impliquaient également souvent une surveillance manuelle menée par les cybercriminels, comme l’a découvert un chercheur MTR lorsque son adresse IP a été blacklistée en temps réel pour empêcher qu’il ne mène une analyse du comportement C2 de Snatch.

Quoi faire ?

Pour les clients Sophos, la protection fait déjà partie des dernières versions des solutions de protection endpoint, bien qu’il soit important d’activer la fonction CryptoGuard dans Intercept X.

La sécurité Sophos détecte les différents composants de Snatch sous les signatures suivantes :

Troj/Snatch-H
Mal/Generic-R
Troj/Agent-BCYI
Troj/Agent-BCYN
HPmal/GoRnSm-A
HPmal/RansMaz-A
PUA Detected: ‘PsExec’

Fait inhabituel, le chiffrement de Snatch utilise OpenPGP, avec des clés publiques hardcodées que les SophosLabs ont publiées sur leur page GitHub pour que les défenseurs puissent les utiliser comme des Indicateurs de Compromission (IoC).

Comment se défendre contre Snatch

  • Le RDP doit être désactivé ou sécurisé à l’aide d’un VPN avec authentification.
  • VNC et TeamViewer sont d’autres points d’entrée possibles, et certains indices laissent penser que des attaquants pourraient bientôt commencer à utiliser des shells web ou tenter de pénétrer dans des systèmes à l’aide d’injection SQL/SQL.
  • Tous les comptes admin doivent être protégés par une authentification multifacteur et des mots de passe puissants.
  • Les appareils non protégés sont une cible privilégiée que les attaquants utiliseront pour mettre un pied dans le système. La meilleure défense pour se protéger contre de telles techniques consiste à effectuer des audits réguliers, visant notamment la détection éventuelle de shadow IT.
  • Les attaques de ransomware nécessitent de disposer d’un “plan b”, comme par exemple la restauration à partir des sauvegardes et l’analyse forensique ainsi que la mitigation des faiblesses qui ont permis à une attaque de se produire.
  • Les outils de protection des systèmes endpoint ne sont pas tous identiques : en effet, le vôtre détectera-t-il Snatch ou il devra plutôt faire face à son attaque en mode sans échec ? Cette technique devrait devenir plus courante en 2020.


Billet inspiré de Snatch ransomware pwns security using sneaky ‘safe mode’ reboot, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.