Cybersécurité : Thanos, premier ransomware indétectable à exploiter la faille RIPlace

RIPlace est une technique de camouflage qui a été dévoilée sous forme de preuve de concept fin 2019 par des chercheurs de Nyotron.  Elle est utilisée pour modifier des fichiers d’une manière indétectable par Windows et par les antivirus. Les attaquants peuvent ainsi contourner diverses mesures de protection anti-ransomware pour chiffrer des fichiers sur les machines ciblées.

Nyotron a fait part de sa découverte aux fournisseurs d’antivirus et à Microsoft. À l’époque, la plupart d’entre eux considéraient que cette technique n’avait pas à être traitée comme une vulnérabilité, et ce, d’autant plus que son exploitation réelle n’était pas prouvée. Seuls Kaspersky et Carbon Black (propriété de VMware) avaient modifié leurs logiciels pour empêcher l’exécution de cette technique.

Dans un nouveau rapport publié le 10 juin 2020, Inskit Group détaille comment la faille RIPlace est utilisée par Thanos, le premier ransomware à s’en servir. Les chercheurs pensent que logiciel malveillant continuera à être exploité, soit individuellement, soit collectivement dans le cadre du programme d’affiliation de son créateur. Cette nouvelle publication devrait inciter Microsoft et les autres fournisseurs de solutions de protection à prendre des mesures.

Source : Recorded Future