Qu'est-ce que RobbinHood Ransomware et comment s'en protéger ?
RobbinHoodporte le nom du hors-la-loi médiéval, mais avec une orthographe différente – le Robin des Bois de la forêt de Sherwood il n'y a qu'un seul 'b'
Les chercheurs en cybersécurité ont remarqué ce ransomware pour la première fois en avril 2019. Sa première attaque majeure a visé les bureaux du Ville de Greenville en Caroline du Nord, puis il a attaqué la ville de Baltimore, dans le Maryland, le mois suivant.
Comme la majorité des ransomwares, RobbinHood attaque les ordinateurs qui exécutent le les fenêtres système opérateur. Le malware introduit un noyau de bas niveau, destiné à une carte mère créée par Gigabyte. Ce système est obsolète et est connu pour ses bugs. Les entreprises qui se remettent d'une attaque RobbinHood doivent donc restaurer leurs fichiers et réinstaller le système d'exploitation jusqu'au BIOS pour se débarrasser de cette faille. Malheureusement, même ceux qui paient la rançon pour obtenir la clé de déchiffrement ne voient pas automatiquement ce problème de noyau être résolu.
D’où vient RobbinHood ?
RobbinHood ne fait pas partie d’une famille de ransomwares, ni le produit d’un gang de hackers connu. Les analystes en cybersécurité ne savent rien du groupe qui a créé RobbinHood ni de leur lieu de résidence. Cependant, il y a un indice dans la demande de rançon créée pour RobbinHood. Le deuxième paragraphe se termine par : « Alors ne perdez pas votre temps et dépêchez-vous ! Tik Tak, Tik Tak, Tik Tak ! »
Les horloges disent des choses différentes dans différentes langues – en anglais, nous entendons des horloges dire « TIC Tac .» En japonais, les horloges disent « Kachi-Kachi ', en chinois, c'est ' Dida Dida ', et en coréen, les horloges disent ' Ttok tak .» Les horloges disent ' TIC Tac » en néerlandais et en russe. Étant donné que la plupart des ransomwares dans le monde sont produits en Russie, il est plus probable que RobbinHood est russe plutôt que le néerlandais.
Une autre indication qu'il s'agit de l'œuvre des Russes est que le code de l'un des modules, Steel.exe, fait référence à un répertoire utilisateur portant le nom Mikhaïl .
Comment le ransomware RobbinHood pénètre-t-il sur un ordinateur ?
Le ransomware RobbinHood utilise plusieurs méthodes différentes pour accéder à un ordinateur. Le ransomware apparaît principalement sous forme de pièce jointe à un e-mail de phishing . Cela incitera l'utilisateur à télécharger et à exécuter la pièce jointe. Une autre méthode consiste à sites Web infectés . Ce malware ajoute une fenêtre contextuelle au site qui indique à l'utilisateur que le navigateur est obsolète. Cliquez sur OK dans la fenêtre contextuelle pour provoquer un téléchargement qui, une fois exécuté, installe la première partie de l'attaque RobbinHood au lieu de la mise à jour promise du navigateur. Une autre méthode de distribution consiste à systèmes de partage de fichiers . Le programme d’installation se fait passer pour une vidéo souhaitable pour inciter les gens à la télécharger et à l’ouvrir.
La première partie du programme d'installation est un programme légitime présentant une faille de sécurité. C'est un chauffeur pour une carte mère Gigabyte. Le conducteur est ce qu'on appelle le noyau . Il interprète les commandes du système d'exploitation en actions sur les composants physiques de l'ordinateur. Malheureusement, ce pilote a un bug, et il a été obsolète par Gigabyte. Cependant, les PJ ne savent pas que le fichier n’est plus valide car il dispose de toutes les autorisations de sécurité nécessaires.
Une fois ce pilote installé sur l’ordinateur, il met à la disposition du pirate un point d’entrée via le bug connu. Le pilote permet à d'autres fichiers système d'être chargés et de remplacer les systèmes existants. Cela relève du système de gestion de fichiers de les fenêtres et permet aux pirates de supprimer les verrous sur les fichiers. Il permet également aux fichiers batch des pirates de tuer les processus .
Que se passe-t-il lors d’une attaque de ransomware RobbinHood ?
Les fichiers batch chargés par le programme d'installation tuent de nombreux processus en cours, notamment systèmes antivirus . Sans l’AV en cours d’exécution, le malware peut s’exécuter sans détection. Il tue également tout éditeur susceptible d'avoir un fichier ouvert. Cela inclurait Word et Excel. Tout fichier ouvert pour modification ne peut pas être écrasé par une version cryptée.
Étonnamment, le malware déconnecte tous les lecteurs connectés. Cela semble être une occasion perdue de se propager sur d’autres ordinateurs. Cependant, il semble que le flux de travail du processus de chiffrement doive prendre en compte un ordinateur à la fois . Un service de réplication au sein du pack ransomware devrait propagé le cryptage exécutable sur d’autres ordinateurs du réseau. Ainsi, chaque point de terminaison sera chiffré séparément.
Le ransomware a réussi à s’emparer de l’intégralité du système d’entreprise qu’il infecte. Il n'implémente pas le cryptage immédiatement mais attend jusqu'à ce que de nombreux ordinateurs soient infectés. Les analystes ne savent pas comment le contrôleur du ransomware sait quand suffisamment de points finaux ont été atteints. Il peut utiliser un outil de surveillance de réseau standard pour générer une liste de tous les points finaux connectés au même réseau que le objectif initial .
Le ransomware RobbinHood semble se propager à d'autres ordinateurs d'un réseau en utilisant le Protocole de bureau à distance (RDP). Certains sites ne nécessitent pas de mot de passe pour ce protocole implémenté comme utilitaire dans le système d'exploitation Windows. Un autre échec de sécurité de ce système consiste à utiliser un mot de passe facile à deviner, tel que mot de passe ou 123456789 .
La dernière phase de préparation est une nettoyer , qui supprime tous les fichiers journaux et supprime les clichés instantanés créés par les fonctions d'enregistrement automatique. Cette finale de pré-attaque désactive également le mode de récupération au démarrage de Windows.
Le processus de cryptage RobbinHood
Après avoir effectué toutes ces tâches pour se propager sur un réseau et modifier le noyau de chaque ordinateur compromis, l'attaque peut encore être annulée. Les hackers ont intégré une intervention de dernière minute sur site mécanisme de contrôle .
Le cryptage utilise deux couches de cryptage avec le wrapper externe effectué avec RSA , un système de cryptage à clé publique. Avant de commencer la routine de chiffrement, le ransomware recherche une clé de chiffrement RSA stockée dans le répertoire Windows Temp. Le compte-gouttes a probablement installé ce fichier pour le package ransomware. Cependant, si le processus de cryptage ne parvient pas à le trouver, toute la procédure du ransomware est interrompue. annulé .
Étant donné que l’ensemble du système est installé par le même compte-gouttes, pourquoi se pourrait-il que le fichier clé ne soit pas là ? Il est possible que l'un des processus précédents supprime éventuellement le fichier de clé de chiffrement. Les pirates russes n’attaqueront pas les ordinateurs dotés de russe comme langue du système. Cette courtoisie s’étend aux langues de toutes les nations de l’ex-URSS, à l’exception des États baltes. Le processus de reconnaissance peut supprimer le fichier clé s'il détecte une nationalité protégée.
Le processus de cryptage utilise un AES chiffrer avec une nouvelle clé pour chaque fichier. Le nom d'origine de chaque fichier et la clé utilisée pour le chiffrer sont ensuite stockés dans un fichier chiffré avec le chiffrement RSA à l'aide du Clé de 4096 bits découvert dans le répertoire Temp. Ainsi, chaque attaque peut être identifiée par la même clé RSA, qui protège de nombreuses clés AES.
Au fur et à mesure que chaque fichier est crypté, son nom devient Encrypted_
La rançon de RobbinHood
RobbinHood lâche quatre exemplaires du note de rançon au format texte sur le lecteur chiffré et génère un HTML version affichée sur l’écran de la victime. Cette note de demande comprend un lien vers un formulaire de contact. Cependant, la page cible ne peut être ouverte que dans un navigateur Tor. Les hackers donnent à la victime quatre jours pour payer la rançon, ou elle augmentera de 10 000 $ par jour si elle n’est pas dépensée. La note explique également qu'une fois Dix jours sont passés sans paiement, l'enregistrement de la clé de déchiffrement sera supprimé et toutes les chances de récupération seront définitivement perdues.
Les rapports suggèrent que les pirates informatiques honorent leur engagement et tiennent leurs promesses. un décrypteur et la clé de ceux qui paient. La rançon initiale varie entre 0,8 Bitcoin et 13 Bitcoin, selon le nombre d'ordinateurs infectés.
Résoudre le problème finira par coûter plus que la simple rançon. Par exemple, la ville de Greenville a calculé que les coûts totaux de recouvrement s'élevaient à 18,2 millions de dollars, y compris la rançon payée.
Prévenir les attaques du rançongiciel RobbinHood
Comme pour tous les logiciels malveillants, mieux vaut prévenir que guérir. Le gros problème auquel vous serez confronté n'est pas la perte de données mais le désordre noyau bogué causes d'installation. Vous devrez démonter chaque ordinateur et réinstaller l'ensemble du système d'exploitation à partir du métal.
Vous pouvez rapidement immuniser n'importe quel ordinateur contre le cryptage RobbinHood, grâce à cette vérification des fichiers clés. Malheureusement, différentes versions utilisent des noms différents pour ce fichier. Par exemple, cela pourrait être pub.key ou clé.pub . Cependant, c'est toujours dans le C:WindowsTemp dossier. Alors, créez un fichier vide pour chacun de ces noms et protection en écriture eux. De cette façon, le programme d’installation de RobbinHood ne pourra pas copier le fichier de clé et lorsque le processus de cryptage démarrera, il ne trouvera pas la clé et tombera donc.
Cependant, vous aurez toujours ce problème de noyau à résoudre. Un système complet de protection contre les logiciels malveillants est un meilleur plan qu’une solution rapide pour bloquer une souche spécifique de ransomware. Voici deux systèmes que vous devriez considérer pour vous défendre contre le ransomware RobbinHood et tous les logiciels malveillants.
1. CrowdStrike Falcon Insight (ESSAI GRATUIT)
Aperçu du faucon CrowdStrike est un bon package de sécurité pour se prémunir contre un large éventail de logiciels malveillants , y compris le rançongiciel RobbinHood. Malheureusement, RobbinHood a connu quatre versions, et le dernier logiciel du système ne contient que 23 % du code original. Cela met en évidence un problème avec les antivirus traditionnels qui recherchent simplement des noms de fichiers ou des processus spécifiques pour détecter les logiciels malveillants : même les mêmes logiciels malveillants évoluent avec le temps, ce qui les rend signes avant-coureurs périmé. Au lieu de cela, Falcon Insight utilise un système de détection adaptable qui détecte les nouveaux logiciels malveillants.
Le système Falcon Insight est une nouvelle génération détection et réponse des points finaux (EDR). Cela suit toutes les activités sur un point de terminaison et identifie l'activité régulière pour chaque compte utilisateur. Le système déclenche une alerte si un comportement atypique apparaît soudainement. L'astuce de RobbinHood consistant à installer un nouveau noyau entrerait dans cette catégorie de un comportement anormal .
Le service CrowdStrike Falcon Insight est un coordinateur pour les systèmes de détection des résidents des points finaux. Ces modules sont disponibles séparément sous la forme d'un produit appelé Faucon Empêcher .
Le service Insight est un module basé sur le cloud qui reçoit des rapports d'activité des agents de point de terminaison et les analyse à la recherche de comportements suspects. Cela donne au système CrowdStrike deux points de détection . Le premier examine l’activité d’un point de terminaison, tandis que l’autre recherche les activités liées entre les points de terminaison. Ceci est utile pour repérer les activités de ransomware qui se propagent d’un point final à un autre.
Le système cloud reçoit également un flux de renseignements sur les menaces et communique les actions recommandées jusqu'aux modules de point de terminaison. De plus, le service EDR comprend des systèmes de remédiation capables de bloquer instantanément une attaque en évolution. Par exemple, l'EDR peut logiciel de quarantaine ou tuer les processus qui semblent menaçants. Ça peut aussi isoler un appareil du réseau pour empêcher une infection de se propager.
Vous pouvez obtenir unEssai gratuit de 15 joursde Falcon Prevent.
CrowdStrike Falcon Insight Commencez un essai GRATUIT de 15 jours
deux. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus est un outil essentiel pour les entreprises ayant une norme de confidentialité des données, comme RGPD , PCI DSS , ou HIPAA . C'est un protecteur de données sensibles.
Heureusement, RobbinHood ne vole ni ne publie de données sensibles. Cependant, d’autres logiciels malveillants le font. La menace de publier des données volées devient de plus en plus une menace supplémentaire standard dans les ransomwares pour encourager la victime à payer.
DataSecurity Plus dispose d'un Découverte électronique module qui recherche sur le réseau des magasins de données sensibles. Une fois qu'il les a trouvés, il catégorise les données à chaque emplacement. Cela vous permet de renforcer la sécurité dans ces endroits. Le forfait comprend également un moniteur d'intégrité des fichiers cela déclenchera une alerte si des fichiers protégés sont touchés. Cet outil peut également réparer les dégâts en restaurant à partir d'une sauvegarde. Il peut également tuer des processus et isoler l'appareil du réseau.
ManageEngine DataSecurity Plus est disponible pour un essai gratuit de 30 jours .
