Une nouvelle variante du ransomware Clop qui cible les applications Windows 10 telles que les éditeurs de texte et les applications bureautiques ainsi que d'autres processus a été découverte dans la nature.
Lorsque le rançongiciel Clop est apparu pour la première fois en février 2019, ce n'était qu'une variante du rançongiciel CryptoMix qui présentait de nombreuses fonctionnalités dans d'autres types de logiciels malveillants. Cependant, en mars, le ransomware a changé soudainement et a commencé à désactiver les services pour Microsoft Exchange, Microsoft SQL Server, MYSQL et d'autres logiciels d'entreprise.
La note de rançon laissée par Clop a également changé pour indiquer que les attaquants derrière elle avaient commencé à viser des réseaux entiers par opposition à des machines individuelles. À cette époque, il a également été déterminé que le groupe d'acteurs de menaces appelé TA500 avait adopté le rançongiciel Clop comme sa charge utile finale préférée après avoir compromis un réseau.
Il y a quelques mois à peine, en novembre, une nouvelle variante du ransomware a été lancée. Elle tentait de désactiver Windows Defender pour qu'il s'exécute sur les machines locales afin qu'il ne soit pas détecté après les futures mises à jour de signatures.
Sommaire
Le rançongiciel Clop a évolué
La dernière évolution du rançongiciel Clop a été découverte en décembre de l'année dernière par MalwareHunterTeam et inversée par le pirate éthique Vitali Kremez.
Le ransomware arbore désormais une fonction de terminaison de processus améliorée qui met fin à 663 processus Windows avant de crypter les fichiers. Les cybercriminels ont souvent leur ransomware terminer les processus avant de crypter les fichiers dans le but de désactiver le logiciel de sécurité, mais la dernière variante de Clop va encore plus loin.
Le rançongiciel Clop met désormais fin à encore plus de processus, y compris les nouvelles applications Windows 10, les éditeurs de texte populaires, les débogueurs, les langages de programmation, les programmes de terminal et le logiciel de programmation IDE. Les autres processus terminés incluent les applications Microsoft Office, la calculatrice Windows, le Bloc-notes ++ et même la nouvelle application Windows 10 Votre téléphone. Pour ceux qui souhaitent en savoir plus, une liste complète des processus terminés est disponible dans le référentiel GitHub de Kremez.
Maintenant que Clop a commencé à cibler avec succès l'ensemble des réseaux des entreprises, attendez-vous à ce que son développement se poursuive avec de nouvelles variantes mieux conçues pour contourner les logiciels de sécurité des utilisateurs.
Via BleepingComputer
