STOP, le ransomware le plus utilisé par les hackers dont vous n'avez probablement jamais entendu parler

La nouvelle version de ce ransomware méconnu, mais l'un des plus populaires chez les hackers, éveille les inquiétudes des spécialistes. Cette mise à jour le fait passer sous les radar des antivirus.

Vous ne le connaissez probablement pas, pourtant, il existe depuis 2018. Il s'agit du ransomware favori des hackers qui n'a finalement que très peu évolué depuis sa création. Il s'appelle STOP et tout récemment, sa mise à jour a alerté des chercheurs de Sonic Wall, une société américaine de cybersécurité.

En effet, la dernière version découverte déploie le ransomware en plusieurs étapes, ce qui le rend indétectable aux antivirus. Bien que STOP ne vole pas de données personnelles et que les montants des rançons soient plutôt faibles, il inquiète surtout par le nombre de victimes important qu'il peut engendrer.

Déploiement de STOP en plusieurs étapes

Initialement, le ransomware commence son infiltration en chargeant un fichier DLL apparemment anodin, comme le msim32.dll, sans doute dans le but de détourner l'attention. Il lance en parallèle des boucles de temporisation prolongées, pour passer au travers des mesures de sécurité basées sur le temps, compliquant ainsi la détection du logiciel malveillant.

Ensuite, il déploie des appels API pour allouer l'espace mémoire nécessaire avec des autorisations de lecture/écriture et d'exécution. Cette approche rend encore plus difficile la détection de l'activité malveillante, car elle évite les schémas d'allocation de mémoire plus prévisibles.

L'étape suivante consiste à creuser les processus légitimes, en détournant leur fonctionnement normal pour injecter sa propre charge utile en mémoire. Cette manipulation subtile est réalisée à travers une série d'appels API orchestrés avec soin, permettant une exécution discrète et efficace en mémoire.

Une fois cette charge utile finale exécutée, des actions supplémentaires sont prises pour garantir la persistance du ransomware, telles que la modification des listes de contrôle d'accès (ACL) pour empêcher les utilisateurs de supprimer les fichiers malveillants et la création d'une tâche planifiée pour exécuter la charge utile de manière régulière. Les fichiers sont cryptés et une extension « .msjd » est ajoutée à leurs nouveaux noms.

Enfin, une demande de rançon nommée « _readme.txt » est créée dans chaque dossier concerné, donnant aux victimes des instructions sur le paiement de la rançon pour la récupération des données.

Un ransomware discret pourtant ravageur

Également connu sous le nom de StopCrypt ou STOP DJVU, il est l'un des ransomwares les plus répandus et pour cause, contrairement à d'autres ransomwares qui ciblent les grandes entreprises, celui-ci s'en prend aux utilisateurs lambda en demandant plusieurs petites rançons plutôt qu'une somme très importante en une seule fois.

Par ailleurs, il est très peu médiatisé en raison du fait que ses victimes ne se plaignent que très rarement d'avoir été rançonnées. En effet, STOP est très souvent distribué par le biais des publicités malveillantes, des sites Web clandestins et des forums du dark web. Les victimes recherchent généralement des logiciels commerciaux piratés, des activateurs, des astuces de jeu, etc. Elles préfèrent alors ne pas se vanter d'avoir été infectées.

Enfin, ce sont souvent les rançons de plusieurs millions de dollars ciblant les grandes entreprises ou organisations qui sont mises en lumière dans les médias, comme très récemment le gang LockBit, qui continue de narguer les plus hautes instances et de faire des victimes. Au début du mois de mars 2024, deux gangs se sont même associés dans une vaste attaque de ransomware à travers 15 pays.

StopCrypt a été découvert pour la première fois en 2018. Pourtant, ses développeurs n'ont pas fait grand-chose au fil des années pour étendre ses fonctionnalités, car la plupart des mises à jour résolvaient simplement des problèmes critiques.

Source : Bleeping Computer, Sonic Wall