La souche de rançongiciel ARCrypter expliquée par BlackBerry

Une nouvelle souche de rançongiciel a été détectée par des chercheurs de BlackBerry qui affirment qu’elle aurait frappé des organisations au Canada, en Chine, au Chili et en Colombie.

Connue sous le nom ARCrypter, parce que la chaîne de caractères « ARC » a été trouvée dans tous les échantillons analysés par les chercheurs, elle est apparue pour la première fois en août.

BlackBerry a déclaré que, contrairement à d’autres variantes de rançongiciel, où une demande de rançon est envoyée après l’étape de cryptage des fichiers, ARCrypter envoie la demande de rançon avant que les fichiers ne soient cryptés. Lors de la livraison de la demande de rançon, le demandeur procède à l’insertion de deux scripts batch et du chiffreur de charge utile principal.

Le vecteur d’attaque – hameçonnage, attaques par force brute ou exploitation de vulnérabilité – n’est pas connu.

Grâce à des efforts de recherche, BlackBerry a trouvé des échantillons associés à la première campagne ARCrypter du début d’août 2022. Mais la première indication publique d’une nouvelle souche de rançongiciel  est survenue le 25 août, lorsque les systèmes informatiques du gouvernement chilien ont été attaqués et que son équipe de réponse aux incidents informatiques a publié un rapport qui contenait des indices de compromission. Puis, le 3 octobre, Invima, l’Institut national colombien de surveillance des aliments et des médicaments, a signalé une cyberattaque qui, selon BlackBerry, était de la même souche.

Suite à ces incidents, les chercheurs ont trouvé des soumissions sur le scanner VirusTotal par des victimes apparemment réelles en Chine et au Canada.

Dans leur enquête sur la façon dont le rançongiciel est installé, les chercheurs ont découvert l’utilisation d’AnonFiles, un service de téléchargement anonyme. Il dépose deux fichiers : Le fichier « win.zip » est une archive protégée par mot de passe contenant le fichier « win.exe ». Ce dernier est un fichier d’injection contenant deux ressources – BIN et HTML. La ressource HTML stocke le contenu de la demande de rançon et la ressource BIN contient des données cryptées, probablement le rançongiciel ARCrypter.

Pour déchiffrer la ressource BIN, le fichier d’injection attend un argument « -p » suivi d’un mot de passe. Une fois le mot de passe saisi par le cybercriminel, le fichier d’injection crée un répertoire aléatoire sous l’une des variables d’environnement suivantes :

    • %TMP%
    • %APPDATA%
    • %ALLUSERSPROFILE%
    • %HOMEPATH%

Le but de ce répertoire nouvellement créé est de stocker la charge utile de deuxième étape, le rançongiciel.

La demande de rançon contient le nom d’utilisateur et le mot de passe requis pour que la victime se connecte au panneau de communication avec les cybercriminels, qui est hébergé sur un site .onion.

Le rapport comprend des indicateurs de compromission que les équipes de sécurité informatique trouveront utiles.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction Informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected]

Articles connexes

Aliments Maple Leaf confirme avoir été victime d’un rançongiciel et ne paiera pas la rançon

Le gang de rançongiciels Black Basta répertorie désormais le transformateur de viande canadien Aliments Maple Leaf parmi ses victimes. Ce n'est pas clair, mais cela pourrait être lié au cyberincident que la société a reconnu plus tôt ce mois-ci.

Le syndicat des enseignants des écoles secondaires de l’Ontario informe les victimes d’une attaque par rançongiciel

Certains enseignants, membres du personnel et retraités des écoles secondaires publiques de l'Ontario ont été avisés que leurs renseignements personnels avaient été copiés par un pirate informatique dans le cadre d'une attaque par rançongiciel contre les systèmes informatiques de leur syndicat au printemps dernier.

La chaîne de magasins de vêtements pour hommes Harry Rosen confirme une cyberattaque

Le détaillant canadien de vêtements pour hommes Harry Rosen a reconnu avoir été victime d'une cyberattaque le mois dernier.

La ville de Westmount touchée par un rançongiciel

La ville de Westmount sur l’île de Montréal aurait été la cible d’un rançongiciel au cours de la fin de semaine, selon un quotidien montréalais.

La police canadienne arrête un membre présumé du gang de rançongiciels LockBit

La police canadienne a arrêté un citoyen russe qui, selon elle, est l'un des opérateurs de rançongiciels les plus prolifiques au monde qui serait derrière le gang cybercriminel LockBit. Si cela est vrai, l'arrestation pourrait être un coup dur pour l'organisation.