Dans un environnement en ligne en constante évolution, le suivi et la lutte contre les logiciels malveillants ransomware ont toujours été un défi. Partout, les équipes de sécurité ont du mal à faire face à ces nouvelles menaces, mais la complexité et la ténacité de certains logiciels malveillants peuvent parfois rendre ces efforts inutiles.
Une nouvelle variante d’un botnet cause des problèmes sur le réseau
En septembre, alors que Phorpiex faisait encore des ravages, il distribuait une nouvelle variante de malware appelée Twizt, qui permet au botnet de fonctionner sans serveurs de commande et de contrôle centralisés.
La nouvelle version améliorée de Twizt Phorpiex dispose d’un système de commande et de contrôle peer-to-peer qui permet à différents appareils infectés de se transmettre des commandes si les serveurs de commande et de contrôle statiques étaient en panne.
Cela signifie que chacun des ordinateurs infectés peut agir comme un serveur et envoyer des commandes à d’autres robots de la chaîne. Il convient également de noter que la dernière infrastructure P2P permet également aux opérateurs de modifier les adresses IP des principaux serveurs C2 selon leurs besoins, tout en restant cachés à l’intérieur d’un essaim d’ordinateurs Windows infectés.
Si vous étiez également curieux de connaître certaines des nouvelles fonctionnalités de cette nouvelle variante de Twizt, elle dispose d’un mode de fonctionnement peer-to-peer (pas de C2) et d’un vérificateur d’intégrité des données. Un protocole binaire configurable (TCP ou UDP) avec deux niveaux de cryptage RC4 est également inclus.
De plus, Twizt peut également charger des charges utiles supplémentaires via une liste d’URL et de chemins de base codés en dur, ou après avoir reçu la commande appropriée du serveur C2.
Le botnet Phorpiex est surveillé par Microsoft
À l’ heure actuelle, Microsoft mène une enquête approfondie sur ce botnet malveillant.
Malgré le fait que ce malware hante Internet depuis un certain temps, le service de sécurité révèle de nouveaux détails sur sa distribution et son fonctionnement.
Selon Microsoft, le botnet Phorpiex est utilisé pour diffuser des ransomwares et du spam.
L’accent mis par le botnet sur la distribution et l’installation de bots s’est également étendu, car l’activité récente indique une évolution vers une distribution plus globale. Les statistiques confirment que Phorpiex est désormais présent dans plus de 160 pays.
L’une des principales raisons pour lesquelles Microsoft s’intéresse à Phorpiex est que le bot désactive l’antivirus Microsoft Defender afin de maintenir la persistance sur les appareils ciblés.
Cela inclut la modification des clés de registre pour désactiver les fenêtres contextuelles ou les fonctionnalités de pare-feu et antivirus, le remplacement des paramètres de proxy et de navigateur, la configuration du chargeur de démarrage et des exécutables pour qu’ils s’exécutent au démarrage et l’ajout de ces exécutables à la liste des applications autorisées.
Pourquoi le Forpex est-il dangereux ?
Le botnet Phorpiex est connu pour avoir été utilisé pour distribuer des logiciels malveillants tels que les ransomwares GandCrab et Avaddon, ou pour des escroqueries par sextorsion.
Selon Microsoft, le ransomware Avaddon est capable d’effectuer des vérifications linguistiques et régionales pour la Russie ou l’Ukraine avant son lancement afin de s’assurer qu’il ne cible que certaines régions.
À première vue, Avaddon nécessite généralement une rançon en bitcoins d’environ 700 $. C’est un prix énorme à payer juste pour ne pas protéger votre ordinateur.
Comment puis-je me protéger du Phorpiex ?
Le premier et le plus important conseil est de ne pas télécharger de contenu ou d’applications dangereux qui ne sont pas développés par une entreprise de confiance. Vous pouvez également vous protéger en limitant les personnes qui ont accès à votre ordinateur et à vos informations confidentielles.
Une autre façon d’empêcher ces tentatives consiste à activer la protection contre les falsifications des points de terminaison de Microsoft Defender, qui est la fonctionnalité de sécurité cloud avancée de Microsoft.
Cette option annulera automatiquement toutes les modifications que le bot essaie constamment d’apporter sur votre ordinateur. Quelles autres mesures prenez-vous pour éviter d’être victime d’attaques de ransomware ? Parlez-nous de votre expérience dans la section commentaire ci-dessous.
Laisser un commentaire