Netcrook Logo
đŸ‘€ SECPULSE
đŸ—“ïž 10 Feb 2026   đŸ—‚ïž Cyber Warfare    

Caché à la vue de tous : comment des raccourcis trompeurs déclenchent le chaos du ransomware hors ligne

Une campagne mondiale de phishing utilise des fichiers de raccourci Windows piégés pour déployer silencieusement un ransomware implacable, contournant les défenses traditionnelles et laissant les victimes bloquées et désespérées.

Ce n’était qu’un email de plus dans une boĂźte de rĂ©ception encombrĂ©e, avec un objet promettant banalement « Votre document ». Mais pour des milliers de personnes Ă  travers le monde, cliquer sur ce qui semblait ĂȘtre un simple fichier Word dĂ©clenchait un cauchemar silencieux : fichiers chiffrĂ©s, systĂšmes paralysĂ©s, et une note de rançon glaçante remplaçant le fond d’écran du bureau. Le coupable ? Pas une faille zero-day sophistiquĂ©e, mais un simple fichier de raccourci Windows - transformĂ© en arme cybernĂ©tique dĂ©vastatrice par les cerveaux derriĂšre le ransomware GLOBAL GROUP.

En bref

  • Les attaquants utilisent des fichiers .lnk (raccourcis) dĂ©guisĂ©s en documents Word pour tromper les utilisateurs.
  • Le botnet Phorpiex distribue le ransomware GLOBAL GROUP lors de vagues massives de phishing.
  • Le ransomware GLOBAL GROUP fonctionne entiĂšrement hors ligne, chiffrant les fichiers sans contacter de serveurs externes.
  • Il utilise un chiffrement puissant ChaCha20-Poly1305, rendant la rĂ©cupĂ©ration quasiment impossible sans la clĂ© de l’attaquant.
  • Des fonctions de persistance, de furtivitĂ© et d’autodestruction compliquent la dĂ©tection et l’analyse forensique.

Le nouveau visage du ransomware : raccourcis, furtivité et silence

La derniĂšre campagne exploite une astuce classique avec une touche moderne. En profitant du comportement par dĂ©faut de Windows qui masque les extensions de fichiers connues, les attaquants envoient des emails contenant des piĂšces jointes telles que « Document.doc.lnk ». Pour un Ɠil non averti, cela ressemble Ă  un fichier Word inoffensif, surtout avec des icĂŽnes authentiques empruntĂ©es Ă  Windows. Mais un simple clic lance une invite de commande cachĂ©e, qui appelle discrĂštement PowerShell pour rĂ©cupĂ©rer une charge malveillante depuis un serveur distant.

La charge utile, dĂ©guisĂ©e en pilote Windows lĂ©gitime (windrv.exe), est installĂ©e et exĂ©cutĂ©e sans aucun avertissement pour l’utilisateur. DĂšs lors, le ransomware se met Ă  l’Ɠuvre, chiffrant les fichiers avec l’algorithme robuste ChaCha20-Poly1305 et ajoutant l’extension .Reco. Les victimes se retrouvent avec une note de rançon - README.Reco.txt - et une demande de paiement via un portail basĂ© sur Tor.

Ce qui distingue GLOBAL GROUP, c’est son mode « muet » : il n’a besoin d’aucune connexion Ă  un serveur de commande et contrĂŽle. Toutes les clĂ©s de chiffrement sont gĂ©nĂ©rĂ©es localement, permettant au malware de dĂ©vaster mĂȘme des rĂ©seaux isolĂ©s ou dĂ©connectĂ©s d’Internet, qui seraient normalement protĂ©gĂ©s par leur absence de connectivitĂ©. Les outils de dĂ©chiffrement prĂ©cĂ©dents sont impuissants face Ă  sa cryptographie avancĂ©e.

Le malware est conçu pour la furtivitĂ© et la persistance. Il vĂ©rifie la prĂ©sence de machines virtuelles et d’outils d’analyse pour contourner les chercheurs, tue les processus de bases de donnĂ©es pour s’assurer que tous les fichiers puissent ĂȘtre verrouillĂ©s, et se programme pour se lancer au dĂ©marrage du systĂšme avec les privilĂšges SYSTEM. Une fois son travail accompli, il utilise une simple commande ping comme minuteur avant d’effacer ses traces, se supprimant lui-mĂȘme pour compliquer l’investigation forensique.

Les organisations font face Ă  une double menace : les fichiers de raccourci contournent facilement la vigilance des utilisateurs et les dĂ©fenses rĂ©seau, tandis que les capacitĂ©s hors ligne de GLOBAL GROUP rendent obsolĂštes de nombreuses techniques de dĂ©tection traditionnelles. Les signes visibles de compromission incluent un fond d’écran modifiĂ©, des fichiers chiffrĂ©s, et un marqueur de fichier distinctif (« xcrydtednotstill_amazingg_time!! ») dĂ©tectable dans les Ă©diteurs hexadĂ©cimaux.

Leçons de défense

Le retour des attaques basĂ©es sur les raccourcis rappelle brutalement que l’ingĂ©nierie sociale et les vieilles astuces de fichiers restent aussi efficaces que jamais. Les experts recommandent aux organisations de rendre visibles les extensions de fichiers sous Windows, de dĂ©sactiver l’exĂ©cution automatique des fichiers de raccourci provenant des emails, et d’investir dans une surveillance robuste des postes de travail. Plus important encore, des sauvegardes rĂ©guliĂšres hors ligne restent la derniĂšre ligne de dĂ©fense contre les ransomwares qui n’ont pas besoin d’Internet pour semer le chaos.

WIKICROOK

  • Phishing : Le phishing est une cybercriminalitĂ© oĂč les attaquants envoient de faux messages pour inciter les utilisateurs Ă  rĂ©vĂ©ler des donnĂ©es sensibles ou Ă  cliquer sur des liens malveillants.
  • Fichier .lnk : Les fichiers .LNK sont des raccourcis Windows qui peuvent ĂȘtre utilisĂ©s par des attaquants pour exĂ©cuter des scripts malveillants ou des logiciels malveillants lorsque des utilisateurs non mĂ©fiants les ouvrent.
  • Living : Living off the Land signifie que les attaquants utilisent des outils systĂšme de confiance (LOLBins) pour des actions malveillantes, rendant leurs activitĂ©s furtives et difficiles Ă  dĂ©tecter.
  • ChaCha20 : ChaCha20 est un algorithme de chiffrement rapide et sĂ©curisĂ© qui brouille les donnĂ©es pour les protĂ©ger contre tout accĂšs non autorisĂ©, largement utilisĂ© en cybersĂ©curitĂ© moderne.
  • Persistance : La persistance regroupe les techniques utilisĂ©es par les malwares pour survivre aux redĂ©marrages et rester cachĂ©s sur les systĂšmes, souvent en imitant des processus ou mises Ă  jour lĂ©gitimes.
Ransomware Phishing Cybersecurity
SECPULSE SECPULSE
SOC Detection Lead
← Back to news