{"id":18590,"date":"2022-03-08T16:38:46","date_gmt":"2022-03-08T14:38:46","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=18590"},"modified":"2022-05-05T13:44:06","modified_gmt":"2022-05-05T11:44:06","slug":"hermeticransom-hermeticwiper-attacks-2022","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/hermeticransom-hermeticwiper-attacks-2022\/18590\/","title":{"rendered":"Un ransomware comme m\u00e9thode de distraction"},"content":{"rendered":"

Nos chercheurs ont analys\u00e9 le programme malveillant HermeticRansom, aussi connu comme Elections GoRansom. En quelques mots, il s\u2019agit d\u2019un outil de chiffrement assez simple. Dans ce cas, c\u2019est l\u2019utilisation qu\u2019en font les cybercriminels qui nous int\u00e9resse.<\/p>\n

Les objectifs de HermeticRansom<\/h2>\n

HermeticRansom attaquait les ordinateurs en m\u00eame temps qu\u2019un autre programme malveillant connu comme HermeticWiper, qui se servait des informations publiques partag\u00e9es par la communaut\u00e9 de la s\u00e9curit\u00e9, et a \u00e9t\u00e9 utilis\u00e9 lors des r\u00e9centes attaques informatiques contre l\u2019Ukraine. Selon nos experts, la simplicit\u00e9 relative et discutable du flux de travail de mise en \u0153uvre du malware indique que HermeticRansom a \u00e9t\u00e9 utilis\u00e9 comme \u00e9cran de fum\u00e9e pour les attaques de HermeticWiper.<\/p>\n

Les capacit\u00e9s de HermeticRansom<\/h2>\n

Une fois que l\u2019ordinateur de la victime est infect\u00e9, le programme malveillant identifie les disques durs et recueille une liste de l\u2019historique et des fichiers conserv\u00e9s partout sauf dans les dossiers Windows et Program Files. Ensuite, le malware chiffre certaines cat\u00e9gories de fichiers et les renomme en ajoutant l\u2019\u00e9tiquette .encrypted et l\u2019adresse e-mail des op\u00e9rateurs du programme malveillant. Le malware cr\u00e9e \u00e9galement un fichier read_me.html dans le dossier Desktop, laissant une demande de ran\u00e7on et les coordonn\u00e9es des cybercriminels \u00e0 la victime. Le message ressemble \u00e0 \u00e7a\u00a0:<\/p>\n

\"\"

Demande de ran\u00e7on laiss\u00e9e par le programme malveillant HermeticRansom<\/p><\/div>\n

HermeticRansom chiffre les fichiers avec les extensions suivantes : .inf, .acl, .avi, .bat, .bmp, .cab, .cfg, .chm, .cmd, .com, .crt, .css, .dat, .dip, .dll, .doc, .dot, .exe, .gif, .htm, .ico, .iso, .jpg, .mp3, .msi and odt.<\/p>\n

Les particularit\u00e9s de HermeticRansom<\/h2>\n

HermeticRansom est \u00e9crit en Golang. Il n\u2019utilise aucun m\u00e9canisme d\u2019offuscation et la m\u00e9thode de chiffrement est assez laborieuse et inefficace. \u00c0 en juger par ces caract\u00e9ristiques et bien d\u2019autres, nos experts pensent que ce programme malveillant a \u00e9t\u00e9 cr\u00e9\u00e9 \u00e0 la h\u00e2te.<\/p>\n

Vous pouvez lire l\u2019analyse technique plus d\u00e9taill\u00e9e de ce malware et conna\u00eetre des indicateurs de compromission sur notre blog Securelist<\/a>.<\/p>\n

Comment vous prot\u00e9ger<\/h2>\n

Les solutions de s\u00e9curit\u00e9 de Kaspersky d\u00e9tectent le programme malveillant HermeticRansom et les menaces similaires. Nous disposons d\u2019un vaste \u00e9ventail d\u2019outils qui assurent la protection des ordinateurs des particuliers et de l\u2019infrastructure des entreprises. On y trouve notamment\u00a0:<\/p>\n