Ce nouveau logiciel malveillant parvient à éviter la détection des antivirus en utilisant une méthode infaillible.

Méfiez-vous du ransomware nommé Cactus, car il risque de faire parler de lui dans les mois à venir. Ce logiciel malveillant ne se distingue pas tant par sa dangerosité que par sa méthode de création et de déploiement. Selon les experts en sécurité de Kroll qui l'ont découvert, Cactus utilise une technique de chiffrement qui le rend très difficile à détecter, lui permettant d'échapper aux antivirus et aux outils de surveillance réseau.

CACTUS SE CHIFFRE LUI-MÊME POUR MIEUX SE DISSIMULER

La particularité de Cactus réside dans sa capacité à se chiffrer lui-même. Mais comment cela est-il possible ? Les créateurs de ce malware utilisent l'outil de compression gratuit 7-Zip pour créer un fichier légitime en apparence. Toutefois, le fichier original est remplacé par le malware, et l'exécutable est doté d'un marqueur spécifique qui lui permet de se lancer .

 Dès lors, le malware est capable de passer entre les mailles du filet des antivirus, puisqu'il ressemble à un simple fichier compressé. Le malware stocke ensuite des données dans le dossier C:\ProgramData\ntuser.dat, lesquelles seront lu par la suite via une commande -r. Et c'est via une autre commande, -i en l'occurrence, que les données, qui ont été au préalable chiffrées, seront ensuite décryptées.

Il est important de noter que le ransomware Cactus exploite des vulnérabilités connues des applications VPN de Fortinet. Une fois qu'il est déployé sur un réseau, ce malware recherche des fichiers et les chiffre en utilisant une opération multithread. En plus de chiffrer les données de ses victimes, Cactus les vole également. Les auteurs ont recours à l'outil Rclone pour transférer les données vers le Cloud. Comme c'est souvent le cas, les auteurs de ce ransomware menacent leurs victimes de publier les informations volées en public. On ne sait pas encore quelle est la demande de rançon exacte, mais elle pourrait s'élever à plusieurs millions de dollars, selon Bleeping Computer.