Son nom bien choisi provoque la terreur et son comportement en fait un ransomware discutable. Thanos prospère sous Windows 7, 8.1 et 10 depuis octobre 2019 sous différents noms, mais ce n’est qu’en janvier 2020 qu’il a fait l’objet d’un rapport détaillé publié par la société Inskit Group. Il s’agit d’une famille de ransomware qui possède à son ancêtre un seul outil développé par un hacker nommé Nosophoros.
Cet outil est capable de générer un ransomware personnalisé basé sur 43 paramètres de configuration différents. La solution est disponible sur le Dark Web et en particulier sur les forums de piratage russes comme les logiciels de type « ransomware as a service ». En d’autres termes, Nosophorus recrute d’autres pirates pour diffuser des logiciels malveillants. Ce dernier obtient une part de revenu d’environ 60 à 70% pour tout paiement de rançon.
Thanos: premier ransomware à tirer parti de l’erreur RIPlace qui la rend indétectable
RIPlace est une technologie de camouflage qui a été dévoilée comme preuve de concept fin 2019 par des scientifiques de Nyotron. Il est utilisé pour modifier des fichiers indétectables par Windows et par un antivirus. Par conséquent, les attaquants peuvent contourner diverses protections contre les ransomwares pour crypter les fichiers sur les machines ciblées.
Lire aussi – Ransomware: les pirates s’excusent pour les dégâts qu’ils ont causés à leurs victimes!
Nyotron a partagé sa découverte avec les fournisseurs d’antivirus et Microsoft. À l’époque, la plupart d’entre eux estimaient que cette technique ne devait pas être traitée comme une vulnérabilité, d’autant plus que son utilisation réelle n’a pas été prouvée. Seuls Kaspersky et Carbon Black (appartenant à VMware) avaient modifié leur logiciel pour empêcher cette technique d’être appliquée.
Dans un nouveau rapport publié le 10 juin 2020, Inskit Group décrit comment la vulnérabilité RIPlace est utilisée par Thanos, le premier ransomware à l’utiliser. Les chercheurs pensent que les logiciels malveillants continueront d’être exploités, individuellement ou collectivement, dans le cadre du programme d’affiliation de son créateur. La nouvelle version devrait inciter Microsoft et d’autres fournisseurs de protection à intervenir.