Cyberattaque de portée mondiale avec le virus ResolverRAT qui cible les hôpitaux et les pharmacies

On assiste de plus en plus à des attaques ciblant les secteurs sensibles comme les hôpitaux et les pharmacies. C’est le cas avec un nouveau malware qui se nomme ResolverRAT et dont la virulence est de portée mondiale. Sa méthode est simple puisqu’il agit par des courriels de phishing soigneusement élaborés pour piéger ses victimes.

Un virus capable de compromettre toutes les données de l’ordinateur

Dès lors que la victime est piégée, en l’occurrence, en cliquant sur un courriel infecté, le virus se déploie sur tout le système, compromettant toutes les données de l’ordinateur infecté. Plusieurs spécialistes de la sécurité informatique ont souligné que ce virus se présente sous la forme d’un cheval de Troie capable de donner accès à distance aux hackeurs.

Cela signifie que les pirates sont capables de prendre le contrôle à distance de votre ordinateur si vous êtes infecté.  La solution de sécurité qui équipe les appareils de nombreuses entreprises, Morphisec, a étudié ce virus et est parvenue à la conclusion que la plupart des attaques ciblées proviennent de l’envoi de mails de phishing.

Dans la majorité des cas, les employés des institutions de santé qui ont reçu le mail ont remarqué dans les messages évoquant des violations légales ou des problèmes de droits d’auteur sur tels ou tels logiciels répandus. De plus, les pirates ont soigneusement évoqué aussi des termes incitant les utilisateurs à cliquer sur le lien en dessous. Morphisec a aussi indiqué qu’il y avait plusieurs concordances avec d’autres campagnes de phishing avec d’autres malwares tels que Rhadamanthys et Lumma.

Pour être plus précis, les emails avaient des liens infectés contenant des exécutables sous la forme du logo de la marque HP. Dès lors que l’utilisateur cliquait dessus, le lien exécutait en arrière-plan un programme infecté qui restait dans la mémoire de l’ordinateur.

Une attaque bien préparée de portée mondiale

Les pirates ont bien planifié leur attaque puisque le virus ne s’exécutait pas tout de suite. Sa première action consiste à se dupliquer dans divers dossiers tels que « Démarrage », « Program Files » ou « LocalAppData » pour rester sous les radars des anti-virus. Et c’est au démarrage du système qui déploie son attaque pour infecter tout le système et laissé le contrôle de l’ordinateur à distance aux pirates.

Alors, comment se fait-il que même certains PC équipés d’un meilleur anti-virus n’aient pas pu le détecter ? Le virus ne collecte pas toutes les données de l’ordinateur d’un seul coup. Pour éviter d’attirer l’attention, il va fractionner les fichiers de plus de 1 Mo en morceaux de 16 Ko. Ainsi, il passe à travers les mailles du filet des anti-virus en se fondant dans le trafic internet du PC infecté. Toutes les données et les fichiers vont être transmis vers des serveurs distants sans être détecté.

On l’ignore pour l’instant, mais ce virus cible principalement les institutions sanitaires, les hôpitaux et les pharmacies. Les chercheurs n’ont pas voulu publier les noms des entreprises affectées par ce malware. Le problème est assez mondial puisque de nombreuses entreprises en Europe, aux États-Unis et même en Asie sont concernées.