La souche de rançongiciel ARCrypter expliquée par BlackBerry

Une nouvelle souche de rançongiciel a été détectée par des chercheurs de BlackBerry qui affirment qu’elle aurait frappé des organisations au Canada, en Chine, au Chili et en Colombie.

Connue sous le nom ARCrypter, parce que la chaîne de caractères « ARC » a été trouvée dans tous les échantillons analysés par les chercheurs, elle est apparue pour la première fois en août.

BlackBerry a déclaré que, contrairement à d’autres variantes de rançongiciel, où une demande de rançon est envoyée après l’étape de cryptage des fichiers, ARCrypter envoie la demande de rançon avant que les fichiers ne soient cryptés. Lors de la livraison de la demande de rançon, le demandeur procède à l’insertion de deux scripts batch et du chiffreur de charge utile principal.

Le vecteur d’attaque – hameçonnage, attaques par force brute ou exploitation de vulnérabilité – n’est pas connu.

Grâce à des efforts de recherche, BlackBerry a trouvé des échantillons associés à la première campagne ARCrypter du début d’août 2022. Mais la première indication publique d’une nouvelle souche de rançongiciel  est survenue le 25 août, lorsque les systèmes informatiques du gouvernement chilien ont été attaqués et que son équipe de réponse aux incidents informatiques a publié un rapport qui contenait des indices de compromission. Puis, le 3 octobre, Invima, l’Institut national colombien de surveillance des aliments et des médicaments, a signalé une cyberattaque qui, selon BlackBerry, était de la même souche.

Suite à ces incidents, les chercheurs ont trouvé des soumissions sur le scanner VirusTotal par des victimes apparemment réelles en Chine et au Canada.

Dans leur enquête sur la façon dont le rançongiciel est installé, les chercheurs ont découvert l’utilisation d’AnonFiles, un service de téléchargement anonyme. Il dépose deux fichiers : Le fichier « win.zip » est une archive protégée par mot de passe contenant le fichier « win.exe ». Ce dernier est un fichier d’injection contenant deux ressources – BIN et HTML. La ressource HTML stocke le contenu de la demande de rançon et la ressource BIN contient des données cryptées, probablement le rançongiciel ARCrypter.

Pour déchiffrer la ressource BIN, le fichier d’injection attend un argument « -p » suivi d’un mot de passe. Une fois le mot de passe saisi par le cybercriminel, le fichier d’injection crée un répertoire aléatoire sous l’une des variables d’environnement suivantes :

    • %TMP%
    • %APPDATA%
    • %ALLUSERSPROFILE%
    • %HOMEPATH%

Le but de ce répertoire nouvellement créé est de stocker la charge utile de deuxième étape, le rançongiciel.

La demande de rançon contient le nom d’utilisateur et le mot de passe requis pour que la victime se connecte au panneau de communication avec les cybercriminels, qui est hébergé sur un site .onion.

Le rapport comprend des indicateurs de compromission que les équipes de sécurité informatique trouveront utiles.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction Informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected]

Articles connexes

Indigo refuse de payer la rançon au gang LockBit

Indigo Books & Music ne paiera pas le gang de rançongiciels LockBit pour les données volées le mois dernier, selon un reportage. 

Veeam tient parole avec son programme de garantie contre les rançongiciels

La grande nouvelle lors du lancement mardi dernier par Veeam Software de ce que la société a simplement appelé la nouvelle plate-forme de données Veeam n'était pas l'introduction de plus de 500 nouvelles fonctionnalités, mais le fait que l'édition Premium inclut désormais un programme de garantie qui couvre la récupération des données en cas d'une attaque de rançongiciel vérifiée.

Les USA et la Corée du Sud lancent une alerte sur des gangs de rançongiciels de Corée du Nord

Des groupes de rançongiciels parrainés par l'État nord-coréen ciblent des hôpitaux et d'autres organisations d'infrastructures critiques, mettent en garde les forces de l'ordre et les agences de renseignement américaines et sud-coréennes.

Balado Hashtag Tendances, 9 février 2023 — Rançongiciel sur des serveurs VMware, panne d’Outlook, coupures chez Dell et Musk non responsable

Cette semaine : Des serveurs VMware touchés par un rançongiciel, panne majeure de Outlook.com, coupures de postes chez Dell et Elon Musk exonéré par la Securities and Exchange Commission.