Les ransomwares sont des programmes malveillants qui sont utilisés pour chiffrer les fichiers sur les ordinateurs des victimes et demander une rançon en échange de leur déchiffrement. Ces programmes sont de plus en plus sophistiqués et utilisent des outils spécifiques pour atteindre leur objectif. Dans cet article, nous allons passer en revue certains des outils les plus couramment utilisés par les groupes de ransomwares.
- Adfind
Adfind est un outil de recherche de comptes et d’objets dans Active Directory. Il est souvent utilisé par les groupes de ransomwares pour trouver des informations sur les utilisateurs et les ordinateurs du réseau. Les groupes de ransomwares qui ont été signalés comme utilisant Adfind comprennent Ryuk, Conti et Sodinokibi.
- Psexec
Psexec est un outil de ligne de commande qui permet d’exécuter des commandes sur des ordinateurs distants. Il est souvent utilisé par les groupes de ransomwares pour exécuter des scripts malveillants sur les ordinateurs des victimes. Les groupes de ransomwares qui ont été signalés comme utilisant Psexec comprennent Ryuk, Maze et REvil.
- Network Scanner
Network Scanner est un outil réseau qui permet de détecter les ordinateurs et les périphériques connectés au réseau. Il est souvent utilisé par les groupes de ransomwares pour trouver des cibles potentielles pour leurs attaques. Les groupes de ransomwares qui ont été signalés comme utilisant Network Scanner comprennent Ryuk, Conti et Maze.
- Advanced Port Scanner
Advanced Port Scanner est également un outil d’énumération de ports qui permet de détecter les ports ouverts sur les ordinateurs du réseau. Il est souvent utilisé par les groupes de ransomwares pour trouver des vulnérabilités sur les ordinateurs des victimes. Les groupes de ransomwares qui ont été signalés comme utilisant Advanced Port Scanner comprennent REvil, Conti et Ryuk.
- GMER
GMER est un outil de détection de rootkits qui permet de détecter les programmes malveillants qui se cachent dans le système d’exploitation. Il est souvent utilisé par les groupes de ransomwares pour détecter les outils de sécurité et les programmes antivirus sur les ordinateurs des victimes. Les groupes de ransomwares qui ont été signalés comme utilisant GMER comprennent REvil, Conti et Maze.
- Process Hacker
Process Hacker est un outil avancé de gestionnaire de tâches qui permet de surveiller et de contrôler les processus en cours d’exécution sur l’ordinateur. Il est souvent utilisé par les groupes de ransomwares pour surveiller les processus des programmes de sécurité et des programmes antivirus sur les ordinateurs des victimes. Les groupes de ransomwares qui ont été signalés comme utilisant Process Hacker comprennent REvil, Conti et Maze.
- PC Hunter
PC Hunter est un outil de détection de rootkits qui permet de détecter les programmes malveillants qui se cachent dans le système d’exploitation. Il est souvent utilisé par les groupes de ransomwares pour détecter les outils de sécurité et les programmes antivirus sur les ordinateurs des victimes. Les groupes de ransomwares qui ont été signalés comme utilisant PC Hunter comprennent REvil, Conti et Maze.
- Et d’autres…
D’autres outils plus aggréssifs sont également utilisés :
- Mimikatz : utilisé par les groupes de ransomware Maze et Ryuk
- Implants Cobalt Strike : utilisé par les groupes de ransomware Maze et REvil/Sodinokibi
- PowerShell Empire : utilisé par le groupe de ransomware Ryuk
- BloodHound : utilisé par le groupe de ransomware Maze
Les groupes de ransomwares utilisent des outils sophistiqués mais souvent légitimes ou d’accès public pour atteindre leur objectif. Les outils mentionnés ci-dessus sont souvent utilisés pour trouver des informations sur les ordinateurs des victimes, détecter les vulnérabilités et surveiller les programmes de sécurité. Les entreprises doivent prendre des mesures pour protéger leurs ordinateurs et leurs réseaux contre ces menaces en utilisant des programmes antivirus, des pare-feu et des outils de détection de logiciels malveillants.
Dans le service de « stress-tests non intrusif aux ransomwares« , notre équipe tente de transférer par différents moyens (navigateur, lignes de commande, clé USB,…) ces outils (soit dans leur format public soit avec des compilations sur mesure, afin d’échapper aux signatures) et de les executer sur vos postes de travail.
De nombreuses lignes de défense sont alors mises en jeu : filtre Internet, navigateur, anti-virus, EDR… Les surprises sont malheureusement fréquentes. Pour le savoir dans votre cas, contactez-nous.