Une nouvelle souche de rançongiciel serait la plus rapide à exécuter le chiffrement

Une nouvelle souche de rançongiciel, considérée comme le maliciel de chiffrement le plus rapide à s’exécuter, a été découverte. 

Des chercheurs de Check Point Software ont déclaré la semaine dernière que la souche, surnommée Rorschach, avait frappé une société américaine anonyme utilisant un composant signé de l’outil de service Cortex XDR Dump de Palo Alto Networks, version 7.3.0.16740. 

Le rançongiciel Rorschach utilise un schéma de cryptographie hybride très efficace et rapide, qui associe les algorithmes de chiffrement curve25519 et eSTREAM hc-128 à des fins de chiffrement, indique le rapport. « Ce processus ne crypte qu’une partie spécifique du contenu du fichier d’origine au lieu du fichier entier. » 

Lors d’un test sur un serveur avec six processeurs, 8192 Mo de RAM et 220 000 fichiers sur un disque dur à semi-conducteurs, il a fallu quatre minutes et 30 secondes à Rorschach pour chiffrer les données. En comparaison, il a fallu sept minutes à un échantillon de LockBit 3.0. 

Les chercheurs soupçonnent que cette routine de cryptographie hybride ait été empruntée au code source divulgué du rançongiciel Babuk. Les créateurs de Rorschach semblent également avoir été inspirés par l’utilisation par LockBit 2.0 des ports d’achèvement d’E/S pour la planification des fils d’exécution, indique le rapport. 

« Rorschach a pris le meilleur des familles de rançongiciels les plus réputées, puis a ajouté ses propres fonctionnalités uniques », concluent les chercheurs. 

Lorsqu’il est initialement exécuté sur un contrôleur de domaine Windows (DC), le rançongiciel crée automatiquement une stratégie de groupe, se propageant à d’autres machines du domaine. 

Une fonctionnalité similaire a été signalée comme étant incluse dans LockBit 2.0, indique le rapport, bien que le déploiement de Rorschach soit effectué différemment. Rorschach copie ses fichiers dans le dossier des scripts du contrôleur de domaine et les supprime de l’emplacement d’origine. Il crée ensuite une stratégie de groupe qui se copie dans le dossier %Public% de Windows de tous les postes de travail du domaine. Le rançongiciel crée une autre stratégie de groupe pour tenter de tuer une liste de processus prédéfinis. Cela se fait en créant une tâche planifiée en appelant taskkill.exe. Enfin, Rorschach crée une troisième stratégie de groupe qui enregistre une tâche planifiée qui s’exécute immédiatement et lors de la connexion d’un utilisateur, qui exécute l’exécutable principal de Rorschach avec les arguments pertinents. 

Rorschach comporte un certain nombre de protections. Le chargeur/injecteur initial, winutils.dll, est protégé par un paquetage de type UPX. Cependant, indique le rapport, cela est modifié de telle manière qu’il n’est pas facilement dépaqueté à l’aide de solutions standard et nécessite un dépaquetage manuel. Après décompression, l’exemple charge et déchiffre config.ini, qui contient la logique du rançongiciel. 

Une fois Rorschach injecté dans notepad.exe, il est toujours protégé par VMProtect. Cela se traduit par la virtualisation d’une partie cruciale du code en plus de l’absence d’une table IAT. Ce n’est qu’après avoir vaincu ces deux protections qu’il est possible pour les chercheurs d’analyser correctement la logique du rançongiciel. 

Une autre façon d’échapper à la détection consiste à effectuer des appels système directs à l’aide de l’instruction « syscall ». « Bien qu’on l’ait déjà observé dans d’autres souches de logiciels malveillants, il est assez surprenant de voir cela dans les rançongiciels », indique le rapport. 

Avant de chiffrer le système cible, l’échantillon exécute deux vérifications du système pour confirmer la langue de l’ordinateur infecté. Si la valeur de retour est couramment utilisée dans les pays de la Communauté des États indépendants (CEI) alignés sur la Russie, y compris la Russie et l’Ukraine, il ne s’exécutera pas. 

« Nos conclusions soulignent l’importance de maintenir des mesures de cybersécurité solides pour prévenir les attaques de rançongiciels, ainsi que la nécessité d’une surveillance et d’une analyse continues des nouveaux échantillons de rançongiciels pour garder une longueur d’avance sur l’évolution des menaces », indique le rapport. « Alors que ces attaques continuent de croître en fréquence et en sophistication, il est essentiel que les organisations restent vigilantes et proactives dans leurs efforts pour se protéger contre ces menaces. » 

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique. 

Adaptation et traduction française par Renaud Larue-Langlois. 

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected]

Articles connexes

Des pirates utilisent OneNote au lieu de macros pour diffuser des logiciels malveillants 

Pendant des années, les cybercriminels ont caché des macros dans des documents Microsoft Office envoyés par courriel afin de diffuser des logiciels malveillants. Lorsqu'un employé clique sur la pièce jointe pour voir le document, la macro s'exécute silencieusement en arrière-plan et provoque une infection. 

Une jeune pousse torontoise testera sa solution de distribution de clés à l’épreuve du quantique

Le gouvernement fédéral donne à une jeune pousse de Toronto l'occasion de prouver que sa nouvelle technologie pourrait aider à protéger les communications canadiennes cryptées d'aujourd'hui contre le piratage par des ordinateurs quantiques.

Indigo admet que la cyberattaque était un rançongiciel ; des données d’employés ont été consultées

Deux semaines après avoir été victime d’une cyberattaque, Indigo Books and Music a reconnu avoir été touchée par un rançongiciel et que les données d’employés avaient été compromises.

Mise à jour d’OpenSSL pour corriger une vulnérabilité critique

Le projet OpenSSL publiera le 1er novembre un correctif pour une vulnérabilité critique de sa bibliothèque de sécurité open source, un événement rare auquel les développeurs d'applications et les administrateurs système devraient prêter attention.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.