Microsoft a intégré une nouvelle fonctionnalité à Windows Defender afin de protéger les machines des attaques en bloquant les pilotes vulnérables. Cette fonction prend place au sein du contrôle des applications de Defender.
David Weston de chez Microsoft a publié un tweet où il dévoile cette fonctionnalité nommée "Microsoft Vulnerable Driver Blocklist". À en croire la description, on comprend que cette nouveauté va permettre de bloquer les pilotes non sécurisés et vulnérables. Autrement dit, si un pilote non sécurisé est vulnérable dans le sens où un attaquant pourrait l'utiliser pour injecter du code malveillant, et bien il sera bloqué par Windows Defender.
Plus précisément, Microsoft peut ajouter un pilote à cette liste s'il répond à l'un des cas de figure suivant :
Il contient une vulnérabilité de sécurité connue pouvant être exploitée par des attaquants pour réaliser une élévation de privilèges au niveau du noyau Windows
Il contient un logiciel malveillant (ou il a des comportements malveillants) ou un certificat utilisé pour signer des logiciels malveillants
Il se comporte de manière non malveillante, mais il contourne le modèle de sécurité de Windows et peut être exploité par des attaquants pour élever les privilèges au niveau du noyau Windows
La firme de Redmond va s'appuyer sur ses équipes internes, mais aussi collaborer avec ses revendeurs et ses partenaires pour s'assurer de la qualité des pilotes, et identifier les pilotes à bloquer au fur et à mesure. Pour bloquer le pilote, Windows va s'appuyer sur le hash SHA256, mais aussi des attributs du fichier tels que le nom, le numéro de version ou encore le certificat utilisé pour signer le pilote.
Cette fonctionnalité est disponible pour Windows 10 (y compris en mode S), Windows 11, mais aussi Windows Server à partir de Windows Server 2016.
Le déploiement sera probablement effectué progressivement par l'intermédiaire d'une mise à jour, car je n'ai pas trouvé cette option sur ma machine sous Windows 11. Et vous ?
La FCC (Commission fédérale des communications) des Etats-Unis vient d'ajouter trois entreprises à sa liste noire : l'éditeur de solution de sécurité Kaspersky Labs, d'origine russe, et deux entreprises chinoises : China Telecom et China Mobile.
Quand on prend connaissance de cette décision, on pense directement au conflit entre l'Ukraine et la Russie, puisque Kaspersky Labs est un éditeur russe, bien que ce soit aujourd'hui une multinationale. Pour la Chine, c'est un peu différent, car les relations entre les États-Unis et la Chine sont un peu tendues depuis un moment... Et ce ne sont pas les premières entreprises chinoises à être ajoutées à cette liste (Huawei, ZTE, etc.) ! Contrairement à Kaspersky qui est à la première entreprise russe ajoutée à la fameuse liste noire des États-Unis. Il est reproché à ces entreprises d'être trop proches de leurs gouvernements respectifs.
Pour justifier cette décision, Jessica Rosenworcel, présidente de la FCC indique que l'objectif est de "renforcer les réseaux de communication américains contre les menaces à la sécurité nationale". Même si cette décision pourrait sembler justifiée compte tenu de la situation géopolitique actuelle, cela fait un moment que Kaspersky n'est pas très apprécié aux États-Unis. Enfin, par les autorités et le gouvernement, en tout cas. En effet, depuis 2017, il est strictement interdit d'utiliser Kaspersky dans les systèmes d'information fédéraux. Quelques années plus tard, Kaspersky continue d'affirmer que cette décision est injustifiée.
Suite à cette annonce de la FCC, l'éditeur Kaspersky a publié un nouveau communiqué avec une réponse plutôt intéressante. Au-delà d'exprimer une certaine déception, il est précisé que : "Kaspersky continuera à rassurer ses partenaires et clients sur la qualité et l'intégrité de ses produits, et reste prêt à coopérer avec les agences gouvernementales américaines pour répondre aux préoccupations de la FCC et de toute autre agence de régulation.". Lorsqu'il s'agit d'évoquer les interdictions, Kaspersky parle d'interdictions inconstitutionnelles fondées sur le climat géopolitique actuel.
La FCC précise que cette restriction concerne tous les produits de Kaspersky, mais aussi les filiales et les entreprises affiliées. Dès à présent, les administrations américaines ne peuvent plus acheter de produits ou de services vendus par Kaspersky et les autres entreprises de cette liste. Personnellement, je trouve que l'on y va un peu fort à l'encontre de Kaspersky en l'état actuel des choses.
Ces dernières années, une grande partie de la population s'est mise à utiliser des VPN grands publics. Bien que ce soit un service payant sous la forme d'un abonnement dans la plupart des cas, son usage est devenu très courant ! Savez-vous pourquoi ? Pour répondre à cette question, nous vous proposons de découvrir les 5 grandes raisons d'utiliser un VPN au quotidien.
Au fait, c'est quoi un VPN ?
Commençons par un rapide rappel sur cette notion de VPN. Tout d'abord, l'acronyme VPN, qu'est-ce qu'il signifie ? VPN signifie Virtual Private Network, soit en français : réseau privé virtuel (RPV si l'on veut s'amuser à écrire l'acronyme). Toutefois, c'est bien le terme VPN qu'il faut retenir et c'est celui-ci que vous allez croiser partout.
Le VPN va permettre de créer un lien virtuel entre deux points, par exemple entre votre ordinateur et l'infrastructure de votre fournisseur VPN, où se situent des dizaines voire des centaines de serveurs VPN. Ce lien virtuel est temporaire et utilisable le temps que la connexion VPN est active. Un VPN peut fonctionner au travers d'une connexion Internet, que ce soit via une connexion ADSL, Fibre, ou même sans-fil via le réseau mobile (4G / 5G).
La notion de VPN vous intéresse ? Alors, regardez ma vidéo complète sur les tunnels VPN que ce soit pour les professionnels ou les particuliers !
5 raisons d'utiliser un VPN
Cet article va permettre d'éclairer le sujet des VPN puisqu'il n'est pas rare de trouver des personnes qui s'interrogent sur les avantages d'utiliser un VPN à titre personnel ! D'ailleurs, si vous souhaitez tenter l'expérience vous pouvez essayer Surfshark ou une alternative comme NordVPN ou ExpressVPN : Obtenir Surfshark.
1 - Modifier sa localisation : lorsque vous activez le VPN de votre fournisseur, vous pouvez choisir un serveur VPN situé dans un pays différent de votre pays d'origine. Par exemple, si vous êtes à l'étranger, vous pouvez utiliser un serveur VPN situé en France pour naviguer sur Internet avec une adresse IP française.
2 - Masquer votre identité sur Internet : même si cet avantage peut faire rêver, il ne faut pas croire que vous allez être totalement incognito ! En fait, quand vous activez le VPN, vous naviguez sur Internet en utilisant l'adresse IP publique du serveur VPN auquel vous êtes connecté. Le service auquel vous vous connectez ne pourra pas remonter jusqu'à votre machine ni récupérer l'adresse IP publique de la box que vous avez à la maison. Vous devez adopter un comportement cohérent, car si vous activez le VPN mais que vous naviguez sur Internet en étant connecté à votre compte Google, l'entreprise américaine ne va pas se gêner pour historiser vos recherches, etc. Le VPN permet tout de même d'améliorer son anonymat sur le Web. En complément, il faudra veiller à choisir un fournisseur VPN avec une politique "No logs" et qui la respecte.
3 - Utiliser un réseau WiFi public en toute sécurité : quand on se déplace souvent et que l'on a pour habitude de se connecter au réseau WiFi d'une gare, d'un restaurant, ou encore d'un hôtel, on se connecte bien souvent sur un réseau WiFi public. Un réseau dont on ne connait pas le niveau de sécurité, et surtout, on ne sait pas qui est également connecté à ce réseau. Une personne malintentionnée pourrait chercher à capturer le trafic réseau pour récupérer des informations sensibles ! En vous connectant à un VPN, un tunnel est établi entre votre ordinateur (ou votre smartphone, tablette, etc.) et le serveur VPN de votre fournisseur : toutes les données qui transitent dans ce tunnel sont chiffrées. Ainsi, le VPN permet d'utiliser le réseau WiFi public en toute sécurité.
4 - Contourner les restrictions géographiques : certains services sont accessibles uniquement dans certains pays. Par exemple, les abonnés de Canal+ peuvent utiliser le service de streaming MyCanal pour regarder les chaînes en direct, ou regarder du contenu en replay. Néanmoins, l'accès à ce service est limité à certains pays. Si vous êtes en Amérique, vous ne pourrez pas vous connecter à MyCanal, car vous êtes localisé dans un pays non autorisé, mais si vous activez votre VPN en choisissant un serveur en France, vous pouvez contourner cette restriction. Autre exemple : l'accès à l'application FDJ pour effectuer des jeux d'argent en ligne.
5 - Contourner les restrictions liées à une connexion : je ne vous apprends rien si je vous dis que certaines connexions sont bridées, c'est-à-dire que certains sites, services, ou certaines catégories de sites et services peuvent être bloquées. À la maison, on peut dire que c'est open-bar, mais dans les autres environnements ce n'est pas toujours le cas ! En activant le VPN, vous pouvez passer outre ces restrictions à moins que le VPN ne fonctionne pas : certains pare-feu sont capables de détecter et bloquer les VPN pour vous empêcher de contourner la politique de sécurité.
Dans ce tutoriel, nous allons voir comment déléguer des permissions au sein d'un domaine Active Directory. Grâce à la délégation de permissions, appelée "délégation de contrôle" dans la console Active Directory, il est possible de donner l'autorisation de réaliser des tâches d'administration à des utilisateurs "non-administrateurs".
D'un point de vue de la sécurité, c'est intéressant, car on peut autoriser un utilisateur ou un groupe à effectuer une action, par exemple réinitialiser le mot de passe des utilisateurs, sans pour autant que l'utilisateur soit membre du groupe "Admins du domaine", ou un autre groupe avec des privilèges plus importants.
La délégation de contrôle est fréquemment utilisée dans certains cas de figure, notamment pour effectuer les tâches suivantes :
Réinitialiser les mots de passe de comptes utilisateurs (par exemple, dans une école pour une personne qui gère les comptes des élèves)
Ajouter un ordinateur dans le domaine (par exemple, pour le compte utilisé par l'outil de déploiement ou pour les techniciens en charge des déploiements)
Ajouter un utilisateur à un groupe (utile pour le service support)
Voici quelques exemples, mais les possibilités sont très nombreuses alors je ne serai pas étonné que votre besoin ne soit pas dans cette liste. Je vais prendre un cas de figure que je trouve très utile et assez populaire, disons : le fait d'attribuer la permission de déverrouiller les comptes Active Directory et de réinitialiser le mot de passe des comptes. Ainsi, on peut imaginer que le groupe "GG-Service-Support" de l'Active Directory dispose de cette autorisation pour tous les comptes de l'OU "Personnel" de l'Active Directory.
II. Où peut s'appliquer la délégation de contrôle ?
Lorsque l'on prévoit de mettre en place une délégation de contrôle dans l'Active Directory, cela peut-être effectué à différents niveaux du domaine Active Directory. Disons que c'est assez granulaire et flexible. Au niveau de l'annuaire Active Directory, la délégation peut être configurée au niveau des éléments suivants :
L'intégralité du domaine Active Directory
Un site Active Directory
Une unité d'organisation spécifique
Un objet spécifique de l'annuaire
Néanmoins, il y a quelques règles à respecter si l'on veut suivre les bonnes pratiques. Tout d'abord, il est déconseillé d'attribuer des permissions directement sur un utilisateur ! Il vaut mieux créer un groupe de sécurité, ajouter l'utilisateur à ce groupe, et attribuer l'autorisation à ce groupe (sur le même principe que ce que l'on va faire). C'est beaucoup plus facile à maintenir puisque pour ajouter la même autorisation à un autre utilisateur, il suffira de l'ajouter dans ce groupe de sécurité. Dans le même esprit, vous ne devez pas utiliser les groupes existants dans l'Active Directory pour créer une délégation, il faut utiliser vos propres groupes.
Quant à la protection des comptes "Administrateurs", vous ne devez pas accorder d'autorisations sur l'OU qui contient ces comptes ! Sinon, on peut imaginer que ces autorisations soient exploitables pour prendre le contrôle d'un compte administrateur. Autrement dit, il faut isoler l'OU qui contient les comptes administrateurs. Par exemple, si l'on accorde la possibilité de réinitialiser le mot de passe à un groupe et que dans le périmètre de la délégation, il y a les comptes administrateurs, il devient possible de réinitialiser le mot de passe d'un compte admin puis de l'utiliser.
Enfin, il est recommandé d'auditer périodiquement les permissions déléguées au sein de votre annuaire Active Directory, afin de faire le tri si besoin, mais aussi pour voir s'il n'y a pas des autorisations indésirables.
III. Déléguer la réinitialisation des mots de passe Active Directory
Avant de commencer, je crée dans mon Active Directory le groupe de sécurité "GG-Service-Support" et j'ajoute à groupe l'utilisateur "florian". Pour information, voici les deux commandes PowerShell correspondantes :
Ensuite, il va falloir enchaîner les clics pour créer la délégation de contrôle, même si l'on pourrait le faire en PowerShell (mais ce n'est pas forcément ce qu'il y a de plus intuitif...).
Ouvrez la console "Utilisateurs et ordinateurs Active Directory" sur votre contrôleur de domaine ou un poste équipé des outils d'administration. On commence par effectuer un clic droit sur l'OU "Personnel", car c'est sur cette unité d'organisation que l'on veut attribuer des autorisations, puis on clique sur "Délégation de contrôle".
On clique sur "Suivant" pour passer le premier écran.
Il faut que l'on sélectionne le groupe "GG-Service-Support", car c'est à lui que l'on souhaite attribuer les droits. On clique sur le bouton "Ajouter", on recherche le groupe et on valide.
On obtient le résultat suivant, ce qui est conforme : on continue.
Désormais, il va falloir que l'on détermine les tâches à déléguer au groupe "GG-Service-Support". Pour cela, on peut piocher dans la liste des tâches courantes, qui contient de nombreuses entrées, dont :
Créer, supprimer et gérer les comptes d'utilisateurs
Réinitialiser les mots de passe utilisateur et forcer le changement de mot de passe à la prochaine ouverture de session
Créer, supprimer et gérer les groupes
Modifier l'appartenance à un groupe
Lire toutes les informations sur l'utilisateur
Etc.
On va plutôt créer une règle sur mesure, car il n'en existe pas qui correspond exactement à ce que l'on veut faire, donc on choisit "Créer une tâche personnalisée à déléguer" puis on poursuit.
Notre objectif étant d'agir sur des comptes utilisateurs, il faut que l'on choisisse uniquement ce type d'objets. Pour cela, on clique sur "Seulement des objets suivants dans le dossier" puis on coche la case "Objets utilisateurs".
A noter la présence de deux options intéressantes si vous souhaitez déléguer la création et la suppression d'objets (par exemple des utilisateurs) dans cette OU : "Créer les objets sélectionnés dans ce dossier" et "Supprimer les objets sélectionnés dans ce dossier". Cela ne nous concerne pas dans ce cas de figure, mais c'est bon à savoir.
Remarque : en sélectionnant les objets de type "ordinateur" et en cochant l'option "Créer les objets sélectionnés dans ce dossier", vous pouvez déléguer l'ajout de machines à votre domaine Active Directory. Cette autorisation doit être positionnée sur l'OU "Computers" de l'AD, car c'est là que sont ajoutées les machines par défaut.
Il est l'heure de déterminer quelles sont les autorisations que l'on souhaite déléguer ! Au sein de la zone "Afficher les autorisations", on coche "Spécifiques aux propriétés" en plus de "Générales" pour que la liste d'autorisations soit un peu plus fournie. Ensuite, dans la liste des autorisations, on doit rechercher et cocher "Lire lockoutTime" et "Ecrire lockoutTime" pour donner accès à la fonction de déverrouillage du compte.
Cela ne s'arrête pas là, car nous devons permettre aux membres de notre groupe la réinitialisation du mot de passe des utilisateurs, donc on doit cocher en plus "Réinitialiser le mot de passe". Au total, il y a trois autorisations à sélectionner.
Voilà, l'autorisation est prête à être mise en place : il ne reste plus qu'à cliquer sur le bouton "Terminer" !
IV. Tester la délégation de contrôle AD
Nous avons mis en place notre délégation de contrôle dans l'Active Directory, mais comment s'assurer qu’elle fonctionne ? Et bien, tout simplement en réalisant un test avec le compte "florian" puisqu'il est membre du groupe "GG-Service-Support" ! Pour cela, plusieurs méthodes sont possibles... On peut se connecter sur une machine avec le compte "florian" et ouvrir la console "Utilisateurs et ordinateurs Active Directory", ou bien utiliser PowerShell. Je vais partir sur la deuxième méthode.
Tout d'abord, on définit une variable nommée "$CredsFlorian" qui va contenir les identifiants du compte "florian" :
$CredsFlorian = Get-Credential -UserName "IT-Connect\florian" -Message "Mot de passe pour le compte florian"
Le mot de passe du compte est demandé :
Ensuite, on va réinitialiser le mot de passe de l'utilisateur "vincent.timmes" qui est dans l'OU "Personnel" en lui attribuant le mot de passe "Caen@Normandie14". Attention, j'attire votre attention sur l'importance de préciser "-Credential $CredsFlorian" afin que la commande soit exécutée avec le compte "florian" ! Sinon, cela fausse le test.
La commande ci-dessus doit fonctionner et retourner "COMMENTAIRES : Opération « Set-ADAccountPassword » en cours sur la cible « CN=Vincent Timmes,OU=Personnel,DC=it-connect,DC=local »." comme le mode verbeux est actif.
Notre délégation de contrôle fonctionne ! Éventuellement, vous pouvez avoir une erreur si le mot de passe ne respecte pas la politique de mots de passe de votre Active Directory.
Maintenant, si l'on essaie de créer un utilisateur nommé "florian2" dans l'OU "Personnel" toujours avec le compte "florian", on va voir que l'on obtient une erreur ! Ce qui, cette fois-ci, est normal !
V. Afficher et modifier une délégation de contrôle AD
Pour afficher les droits sur une unité d'organisation de l'Active Directory, et ainsi identifier la présence éventuelle d'une délégation, il faut activer l'affichage avancé dans la console "Utilisateurs et ordinateurs Active Directory". Pour cela, on doit cliquer sur "Affichage" puis "Fonctionnalités avancées".
Ensuite, on effectue un clic droit sur l'OU "Personnel" puis on clique sur "Propriétés".
Dans l'onglet "Sécurité", nous pouvons visualiser les droits actuels sur cette OU. Tiens, tiens, on retrouve notre groupe "GG-Service-Support", pour en savoir un peu plus, on clique sur le bouton "Avancé".
Dans la liste des autorisations, on peut voir deux lignes correspondantes à notre groupe. L'une concerne la possibilité de réinitialiser le mot de passe, l'autre n'est pas très précise, mais elle devrait correspondre à la partie verrouillage. Pour en avoir le cœur net, on double-clique sur la seconde ligne.
Le détail des autorisations s'affiche, et si l'on regarde bien, on va voir deux cases cochées "Lire lockoutTime" et "Ecrire lockoutTime" : ce qui correspond à la délégation créée précédemment.
Si l'on souhaite éditer cette délégation de contrôle, il n'y a pas d'assistant dédié pour cela, il faut agir sur les autorisations directement via l'onglet "Sécurité" de notre OU. Que ce soit pour modifier ou supprimer l'autorisation, c'est ici que ça se passe. En fait, même pour créer une nouvelle délégation de contrôle, on pourrait le faire manuellement via l'onglet "Sécurité" sans avoir recours à l'assistant.
VI. Auditer la délégation de contrôle Active Directory
Pour auditer la délégation de contrôle, on peut s'appuyer sur PowerShell, mais aussi des solutions propriétaires. Il me semble que Netwrix Auditor intègre ce genre de fonctionnalités. Pour ma part, je vais vous présenter l'outil gratuit "AD ACL Scanner" basé sur PowerShell. Il s'agit d'un outil disponible sur GitHub qui est utilisable à la fois en ligne de commande et en interface graphique, simplement en exécutant le script PowerShell.
Voici le lien vers le projet où vous pouvez télécharger la dernière version : AD ACL Scanner
Il suffit d'exécuter le script "ADACLScan.ps1" avec un compte administrateur afin d'analyser l'Active Directory. Cela va ouvrir une interface graphique : il faut commencer par établir la connexion à l'Active Directory en cliquant sur le bouton "Connect" (cela utilise le compte actuel et cible le domaine actuel).
Une fois la connexion établie, la structure de l'annuaire Active Directory s'affiche dans la zone "Nodes" en bas à gauche. Il faut cliquer sur le noeud qui sert de base pour effectuer l'analyse. Cela dépend de ce que l'on veut faire : auditer les permissions seulement sur une OU ou sur une partie un peu plus large de l'AD (par exemple une OU et ses sous-OU), voire même tout le domaine. Pour cet exemple, et comme mon annuaire n'est pas très conséquent, je vais sélectionner le domaine "DC=it-connect,DC=local".
Ensuite, la partie de droite sert à configurer les options pour l'analyse. On coche les options "Skip default permissions" et "Skip protected permissions" pour exclure les permissions natives de l'Active Directory. Cela permettra de voir plus facilement les délégations de contrôle ajoutées par un admin de l'Active Directory ou par une application.
Concernant l'option "Scan Depth", cela permet d'ajuster le périmètre de l'analyse :
Base : seulement sur le noeud sélectionné
One Level : le noeud sélectionné et les objets de premiers niveaux
Subtree : le noeud sélectionné et l'ensemble des sous-objets
Enfin, on peut configurer le format de sortie du rapport. Ici, je sélectionne "HTML", mais d'autres formats sont disponibles (Excel / CSV). Ce qui donne la configuration suivante :
On clique sur "Run Scan" et puis on laisse l'outil travailler un instant, le temps de l'analyse. Quand ce sera terminé, un rapport va s'ouvrir, comme celui-ci dessous.
Le rapport peut contenir énormément de lignes en fonction de votre annuaire Active Directory et des options sélectionnées. Néanmoins, c'est bien structuré et chaque nouvel objet analysé est mis en évidence afin de créer des sortes de séparateurs dans le rapport.
On peut voir que l'OU "Personnel" est présente dans ce rapport, et nous retrouvons bien les autorisations du groupe "GG-Service-Support" ! Le petit bonus, c'est que les noms de groupe sont cliquables : si l'on clique sur un nom, une nouvelle page s'affiche afin de nous indiquer quels sont les membres du groupe. Pratique.
Si l'on veut mettre en évidence les permissions critiques, c'est-à-dire correspondantes à un haut niveau de droits, il faut cocher l'option "Show color coded criticality" de l'onglet "Assessment".
Pour tester, j'ai mis le groupe "GG-Service-Support" en contrôle total sur l'OU "Personnel" et j'ai relancé un scan. Voici le résultat avec ce fameux code couleur :
L'outil "AD ACL Scanner" est fonctionnel et assez puissant : il dispose de nombreuses options pour auditer les permissions liées aux objets de l'Active Directory donc je vous encourage à l'ajouter à votre trousse à outils sysadmin et à l'explorer ! Dans le cas où vous effectuez des exports CSV, l'outil peut vous aider à les comparer grâce aux fonctions de l'onglet "Compare".
Désormais, vous êtes en mesure de configurer la délégation de contrôle au sein de votre annuaire Active Directory !
Le ransomware Hive, réputé pour s'attaquer aux machines Linux et notamment les serveurs VMware ESXi, évolue afin de passer sur le langage de programmation Rust dans le but d'intégrer de nouvelles fonctionnalités de sécurité pour rendre le travail des chercheurs en sécurité plus difficile.
Initialement, le ransomware Hive s'appuie sur le langage de programmation Go (Golang) et il est capable de s'attaquer à des machines sous Windows, Linux, FreeBSD, ainsi que des hôtes VMware ESXi. Il est particulièrement polyvalent et il y a différentes variantes en fonction du système cible. D'ailleurs, les serveurs VMware ESXi sont très souvent ciblés dans le cadre d'attaques, car l'impact est très fort lorsque les machines virtuelles sont entièrement chiffrées.
Les pirates à l'origine du ransomware Hive s'appuient sur leur chiffreur Linux pour s'attaquer aux serveurs VMware ESXi, ce dernier étant un système basé sur Linux. Il s'avère que les pirates ont repris des techniques utilisées à l'origine par le ransomware BlackCat (ALPHV). Qu'est-ce que cela signifie ?
Et bien, lorsqu'un ransomware parvient à chiffrer les données sur une machine, les pirates essaient d'entamer des négociations en privé avec l'entreprise victime de l'attaque informatique. L'objectif étant d'inciter l'entreprise à payer la rançon, notamment sous peine de voir les données publiées sur Internet (la double peine !). Néanmoins, il s'avère que lorsqu'un échantillon d'un ransomware est chargé sur service d'analyse en ligne, les chercheurs en sécurité parviennent à extraire des informations notamment les instructions laissées sur la machine de la victime au moment du chiffrement. Grâce à cela, l'intention est claire : rendre les informations de négociations publiques, que ce soit sur Twitter ou ailleurs, afin de perturber les intentions des pirates.
Pour éviter que les chercheurs en sécurité puissent effectuer ce travail d'identification, le ransomware Hive reprend les techniques de BlackCat, à savoir :
L'URL (sur le réseau Tor) pour les négociations n'est plus intégrée dans le chiffreur, mais elle est passée en paramètre au moment de l'exécution, ce qui ne permet plus de la retrouver
Les identifiants d'accès à la page de négociation ne sont plus stockés dans le chiffreur, mais ils sont passés en paramètres comme l'URL
Source : Bleeping Computer
Grâce à cela, lorsqu'un échantillon est chargé pour une analyse, il ne contient plus l'URL et les identifiants d'accès, ce qui empêche les chercheurs de pouvoir récupérer ces informations. Les identifiants sont seulement accessibles en local sur la machine infectée au sein des notes laissées suite au chiffrement des données.
En complément, le ransomware va être réécrit avec le langage de programmation Rust afin de le rendre plus efficace, plus rapide, mais aussi pour complexifier les opérations de reverse engineering. Espérons que le ransomware Hive ne fasse pas trop parler de lui en 2022...
