Des échantillons récents du rançongiciel Snake ont été observés en isolant les systèmes infectés pour garantir que rien n’interfère avec le processus de cryptage des fichiers, préviennent les chercheurs en sécurité.

Initialement détaillé en janvier de cette année, Snake (également connu sous le nom d’EKANS) est devenu une menace répandue pour les systèmes de contrôle industriels (ICS), en raison du ciblage des processus spécifiques à ces environnements. Le ransomware serait responsable du cyber-incident Honda le mois dernier.

L’une des principales caractéristiques de Snake est la destruction de processus à partir d’une liste prédéfinie, y compris les processus liés à ICS, pour crypter les ressources qui leur sont associées dans le but d’inciter davantage les victimes à payer la rançon pour restaurer les systèmes affectés.

Dans le cadre d’attaques plus récentes, le ransomware a poussé l’activité malveillante un peu plus loin, en tentant d’isoler les systèmes compromis avant de démarrer le processus de chiffrement des fichiers.

Pour cela, les développeurs de Snake ont emballé la menace avec la possibilité d’activer et de désactiver le pare-feu et d’utiliser des commandes spécifiques pour bloquer les connexions indésirables au système.

«Avant de lancer le chiffrement, Snake utilisera le pare-feu Windows afin de bloquer toutes les connexions réseau entrantes et sortantes sur la machine de la victime qui ne sont pas configurées dans le pare-feu. L’outil netsh intégré à Windows sera utilisé à cette fin », explique la firme de cybersécurité Deep Instinct.

De plus, le malware recherchait alors les processus susceptibles d’interférer avec le processus de chiffrement et les tuait, y compris ceux liés aux applications industrielles, aux outils de sécurité et aux solutions de sauvegarde. Il supprime également les clichés instantanés pour empêcher les opérations de récupération.

Comme auparavant, le ransomware évite de chiffrer les dossiers et fichiers critiques du système.

En analysant le comportement de Snake, Fortinet a également découvert que l’outil malveillant éteignait le pare-feu après le …

Voir la source de cette publication