
D’après Sophos, publié le 6 janvier 2020.
Sophos, focus sur le ransomware Snatch qui déjoue la sécurité en utilisant un redémarrage discret en mode sans échec.
L’équipe Sophos MTR (Managed Threat Response) a alerté le secteur de la cybersécurité au sujet d’une nouvelle astuce utilisée par de dangereux ransomwares. À savoir le chiffrement des données uniquement après le redémarrage des PC Windows en “mode sans échec”.
Cette technique, déployée récemment par le ransomware “Snatch” développé en Russie et ayant reçu comme nom le titre du film sorti en 2000. Cette faille s’avère efficace contre de nombreux logiciels de sécurité protégeant les systèmes endpoint. En effet, ceux-ci ne se chargent souvent pas lorsque le mode sans échec est en cours d’utilisation.
Les attaquants recherchent des ports RDP (Remote Desktop) faiblement sécurisés pour se frayer un chemin au sein des serveurs Azure. Une position privilégiée qu’ils utilisent ensuite pour se déplacer latéralement vers les contrôleurs de domaine Windows, passant souvent des semaines à effectuer des opérations de repérage.