Rançongiciels: détournement d’outils d’accès à distance (AnyDesk, UltraViewer, RustDesk, Splashtop) pour persistance et évasion
Selon Seqrite (blog sécurité de Quick Heal), cette analyse décrit des campagnes de rançongiciel qui abusent d’outils d’accès à distance légitimes afin de s’infiltrer, rester furtifs et déployer la charge utile au sein d’environnements d’entreprise. • Les acteurs exploitent des RAT légitimes (AnyDesk, UltraViewer, RustDesk, Splashtop) souvent signés et whitelistés, ce qui leur permet de se fondre dans les opérations IT. L’étude retrace une kill chain en 7 étapes: (1) Accès initial via compromission d’identifiants avec séquence d’événements Windows 4625→4624; (2) Déploiement silencieux des outils (flags comme /VERYSILENT et /S); (3) Persistance via clés de registre (HKCU\Software\Microsoft\Windows\CurrentVersion\Run), tâches planifiées, et élévation SYSTEM (ex. PowerRun); (4) Neutralisation de l’antivirus par arrêt de services (sc stop, net stop), manipulation de politiques et purge de logs (wevtutil cl); (5) Livraison de la charge utile via les canaux RAT; (6) Mouvement latéral par réutilisation d’identifiants et propagation des RAT; (7) Impact par chiffrement et verrouillage des systèmes. ...