La nouvelle version de ce ransomware méconnu, mais l’un des plus populaires chez les hackers, éveille les inquiétudes des spécialistes. Cette mise à jour le fait passer sous les radar des antivirus.
Une Mise à Jour Inquiétante pour le Ransomware STOP
Vous ne le connaissez probablement pas, pourtant, il existe depuis 2018. Il s’agit du ransomware favori des hackers qui n’a finalement que très peu évolué depuis sa création. Il s’appelle STOP et tout récemment, sa mise à jour a alerté des chercheurs de Sonic Wall, une société américaine de cybersécurité.
Une Infiltration Sophistiquée en Plusieurs Étapes
La dernière version découverte déploie le ransomware en plusieurs étapes, ce qui le rend indétectable aux antivirus. Initialement, le ransomware commence son infiltration en chargeant un fichier DLL apparemment anodin, comme le msim32.dll, sans doute dans le but de détourner l’attention. Il lance en parallèle des boucles de temporisation prolongées, pour passer au travers des mesures de sécurité basées sur le temps, compliquant ainsi la détection du logiciel malveillant.
Ensuite, il déploie des appels API pour allouer l’espace mémoire nécessaire avec des autorisations de lecture/écriture et d’exécution. Cette approche rend encore plus difficile la détection de l’activité malveillante, car elle évite les schémas d’allocation de mémoire plus prévisibles.
L’étape suivante consiste à creuser les processus légitimes, en détournant leur fonctionnement normal pour injecter sa propre charge utile en mémoire. Cette manipulation subtile est réalisée à travers une série d’appels API orchestrés avec soin, permettant une exécution discrète et efficace en mémoire.
Un Ransomware Discret mais Ravageur
Ce ransomware, également connu sous le nom de StopCrypt ou STOP DJVU, est l’un des plus répandus. Contrairement à d’autres ransomwares qui ciblent les grandes entreprises, STOP s’en prend aux utilisateurs lambda en demandant plusieurs petites rançons plutôt qu’une somme très importante en une seule fois.
STOP est très peu médiatisé en raison du fait que ses victimes ne se plaignent que très rarement d’avoir été rançonnées. Il est souvent distribué par le biais des publicités malveillantes, des sites Web clandestins et des forums du dark web, visant les utilisateurs à la recherche de logiciels commerciaux piratés, d’activateurs, ou d’astuces de jeu.
Alors que les grandes attaques de ransomware, visant des entreprises ou des organisations avec des rançons de plusieurs millions de dollars, sont mises en lumière dans les médias, STOP opère de manière plus discrète. Les victimes préfèrent souvent ne pas signaler leur infection.
Peu d’Évolutions depuis sa Découverte en 2018
STOP a été découvert pour la première fois en 2018. Pourtant, ses développeurs n’ont pas fait grand-chose au fil des années pour étendre ses fonctionnalités, car la plupart des mises à jour résolvaient simplement des problèmes critiques.
La Rédaction
