La souche de rançongiciel ARCrypter expliquée par BlackBerry

Une nouvelle souche de rançongiciel a été détectée par des chercheurs de BlackBerry qui affirment qu’elle aurait frappé des organisations au Canada, en Chine, au Chili et en Colombie.

Connue sous le nom ARCrypter, parce que la chaîne de caractères « ARC » a été trouvée dans tous les échantillons analysés par les chercheurs, elle est apparue pour la première fois en août.

BlackBerry a déclaré que, contrairement à d’autres variantes de rançongiciel, où une demande de rançon est envoyée après l’étape de cryptage des fichiers, ARCrypter envoie la demande de rançon avant que les fichiers ne soient cryptés. Lors de la livraison de la demande de rançon, le demandeur procède à l’insertion de deux scripts batch et du chiffreur de charge utile principal.

Le vecteur d’attaque – hameçonnage, attaques par force brute ou exploitation de vulnérabilité – n’est pas connu.

Grâce à des efforts de recherche, BlackBerry a trouvé des échantillons associés à la première campagne ARCrypter du début d’août 2022. Mais la première indication publique d’une nouvelle souche de rançongiciel  est survenue le 25 août, lorsque les systèmes informatiques du gouvernement chilien ont été attaqués et que son équipe de réponse aux incidents informatiques a publié un rapport qui contenait des indices de compromission. Puis, le 3 octobre, Invima, l’Institut national colombien de surveillance des aliments et des médicaments, a signalé une cyberattaque qui, selon BlackBerry, était de la même souche.

Suite à ces incidents, les chercheurs ont trouvé des soumissions sur le scanner VirusTotal par des victimes apparemment réelles en Chine et au Canada.

Dans leur enquête sur la façon dont le rançongiciel est installé, les chercheurs ont découvert l’utilisation d’AnonFiles, un service de téléchargement anonyme. Il dépose deux fichiers : Le fichier « win.zip » est une archive protégée par mot de passe contenant le fichier « win.exe ». Ce dernier est un fichier d’injection contenant deux ressources – BIN et HTML. La ressource HTML stocke le contenu de la demande de rançon et la ressource BIN contient des données cryptées, probablement le rançongiciel ARCrypter.

Pour déchiffrer la ressource BIN, le fichier d’injection attend un argument « -p » suivi d’un mot de passe. Une fois le mot de passe saisi par le cybercriminel, le fichier d’injection crée un répertoire aléatoire sous l’une des variables d’environnement suivantes :

    • %TMP%
    • %APPDATA%
    • %ALLUSERSPROFILE%
    • %HOMEPATH%

Le but de ce répertoire nouvellement créé est de stocker la charge utile de deuxième étape, le rançongiciel.

La demande de rançon contient le nom d’utilisateur et le mot de passe requis pour que la victime se connecte au panneau de communication avec les cybercriminels, qui est hébergé sur un site .onion.

Le rapport comprend des indicateurs de compromission que les équipes de sécurité informatique trouveront utiles.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction Informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected].

Articles connexes

Les autorités suppriment l’infrastructure de Qakbot et lancent des commandes pour supprimer le maliciel

La police de sept pays, dont les États-Unis, a déclaré mardi avoir infiltré et détruit l'infrastructure derrière le réseau zombie Qakbot, puis utilisé cet accès pour commander aux ordinateurs infectés de supprimer le logiciel malveillant.

Le ​​Centre pour la cybersécurité avertit encore une fois les entreprises canadiennes de ne pas ignorer la cybercriminalité

La principale agence de cybersécurité du Canada a une fois de plus mis en garde les responsables informatiques, les dirigeants d'entreprise et les résidents des risques s'ils ne sont pas préparés à la cybercriminalité.

Une division américaine de la CIBC semble avoir été victime du piratage de MOVEit

La division américaine d'une autre banque canadienne a apparemment été victime de la vulnérabilité du serveur de transfert de fichiers MOVEit.

Le gang de rançongiciels Cuba à la recherche d’installations Veeam non corrigées

Le gang de rançongiciels Cuba a modifié sa stratégie d'attaque pour s'attaquer aux environnements informatiques qui n'ont pas corrigé une vulnérabilité récemment découverte dans les solutions de sauvegarde de Veeam Software.

Comment le jeune gang de rançongiciels INC a frappé une victime

Selon les chercheurs de Huntress, le nouveau gang de rançongiciels INC n'a pas mis plus d'une semaine – et peut-être moins – pour pénétrer et chiffrer les systèmes informatiques d'une organisation.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.