ActualitésCybersécuritéNouvelles

La souche de rançongiciel ARCrypter expliquée par BlackBerry

Par Howard Solomon
Image : Getty Images

Une nouvelle souche de rançongiciel a été détectée par des chercheurs de BlackBerry qui affirment qu’elle aurait frappé des organisations au Canada, en Chine, au Chili et en Colombie.

Connue sous le nom ARCrypter, parce que la chaîne de caractères « ARC » a été trouvée dans tous les échantillons analysés par les chercheurs, elle est apparue pour la première fois en août.

BlackBerry a déclaré que, contrairement à d’autres variantes de rançongiciel, où une demande de rançon est envoyée après l’étape de cryptage des fichiers, ARCrypter envoie la demande de rançon avant que les fichiers ne soient cryptés. Lors de la livraison de la demande de rançon, le demandeur procède à l’insertion de deux scripts batch et du chiffreur de charge utile principal.

Le vecteur d’attaque – hameçonnage, attaques par force brute ou exploitation de vulnérabilité – n’est pas connu.

Grâce à des efforts de recherche, BlackBerry a trouvé des échantillons associés à la première campagne ARCrypter du début d’août 2022. Mais la première indication publique d’une nouvelle souche de rançongiciel  est survenue le 25 août, lorsque les systèmes informatiques du gouvernement chilien ont été attaqués et que son équipe de réponse aux incidents informatiques a publié un rapport qui contenait des indices de compromission. Puis, le 3 octobre, Invima, l’Institut national colombien de surveillance des aliments et des médicaments, a signalé une cyberattaque qui, selon BlackBerry, était de la même souche.

Suite à ces incidents, les chercheurs ont trouvé des soumissions sur le scanner VirusTotal par des victimes apparemment réelles en Chine et au Canada.

Dans leur enquête sur la façon dont le rançongiciel est installé, les chercheurs ont découvert l’utilisation d’AnonFiles, un service de téléchargement anonyme. Il dépose deux fichiers : Le fichier « win.zip » est une archive protégée par mot de passe contenant le fichier « win.exe ». Ce dernier est un fichier d’injection contenant deux ressources – BIN et HTML. La ressource HTML stocke le contenu de la demande de rançon et la ressource BIN contient des données cryptées, probablement le rançongiciel ARCrypter.

Pour déchiffrer la ressource BIN, le fichier d’injection attend un argument « -p » suivi d’un mot de passe. Une fois le mot de passe saisi par le cybercriminel, le fichier d’injection crée un répertoire aléatoire sous l’une des variables d’environnement suivantes :

    • %TMP%
    • %APPDATA%
    • %ALLUSERSPROFILE%
    • %HOMEPATH%

Le but de ce répertoire nouvellement créé est de stocker la charge utile de deuxième étape, le rançongiciel.

La demande de rançon contient le nom d’utilisateur et le mot de passe requis pour que la victime se connecte au panneau de communication avec les cybercriminels, qui est hébergé sur un site .onion.

Le rapport comprend des indicateurs de compromission que les équipes de sécurité informatique trouveront utiles.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction Informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected].
Plus d'articles de Howard Solomon

Articles connexes

Actualités

Un gang de rançongiciel commence à divulguer des données volées dans une université québécoise

Le gang de rançongiciel LockBit a commencé à divulguer des données qui, selon lui, auraient été volées le mois dernier dans une université québécoise. Les données proviennent de l'Université de Sherbrooke, qui compte environ 31 000 étudiants et 8 200 professeurs et employés.
Actualités

Les sites Web du gang de rançongiciel AlphV/BlackCat saisis, le FBI publie un décrypteur

Les autorités américaines ont confirmé le démantèlement du gang de rançongiciel AlphV/BlackCat, notamment la saisie de plusieurs sites de fuite de données et de communication du groupe et la publication d'un décrypteur que les organisations victimes peuvent utiliser pour accéder à nouveau aux données brouillées.
Actualités

Une commission scolaire du sud de l’Ontario reconnaît un « cyberincident »

L'une des plus grandes commissions scolaires publiques du sud de l'Ontario a reconnu publiquement une cyberattaque, plus d'un mois après sa détection.
Actualités

BlackBerry nomme un nouveau PDG et séparera ses activités de cybersécurité et d’IdO

Le nouveau dirigeant de BlackBerry est l'ancien chef de sa division de cybersécurité. La société de Waterloo, en Ontario, a annoncé ce matin que John Giamatteo était son nouveau chef de la direction et devenait membre de son conseil d'administration, avec effet immédiat.
Actualités

Les entreprises canadiennes de taille moyenne paient en moyenne 1,13 million de dollars aux gangs de rançongiciels

Le paiement moyen de rançongiciel effectué par les entreprises canadiennes de taille moyenne s'élevait cette année à un peu plus d'un million de dollars, selon une nouvelle enquête.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.

OBTENEZ LES NOUVELLES ET LES PERSPECTIVES QUI COMPTENT POUR VOUS

Nos journalistes et rédacteurs chevronnés vous offrent un contenu varié et pertinent conçu spécialement pour les professionnels et les cadres des TI.

Abbonement

La seule source d’information en gestion des TI au Québec

Nouvelles

Catégories Populaire

Réseau ITWC

Autre

© 2022 Direction Informatique - ITWC