Une nouvelle souche de rançongiciel a été détectée par des chercheurs de BlackBerry qui affirment qu’elle aurait frappé des organisations au Canada, en Chine, au Chili et en Colombie.
Connue sous le nom ARCrypter, parce que la chaîne de caractères « ARC » a été trouvée dans tous les échantillons analysés par les chercheurs, elle est apparue pour la première fois en août.
BlackBerry a déclaré que, contrairement à d’autres variantes de rançongiciel, où une demande de rançon est envoyée après l’étape de cryptage des fichiers, ARCrypter envoie la demande de rançon avant que les fichiers ne soient cryptés. Lors de la livraison de la demande de rançon, le demandeur procède à l’insertion de deux scripts batch et du chiffreur de charge utile principal.
Le vecteur d’attaque – hameçonnage, attaques par force brute ou exploitation de vulnérabilité – n’est pas connu.
Grâce à des efforts de recherche, BlackBerry a trouvé des échantillons associés à la première campagne ARCrypter du début d’août 2022. Mais la première indication publique d’une nouvelle souche de rançongiciel est survenue le 25 août, lorsque les systèmes informatiques du gouvernement chilien ont été attaqués et que son équipe de réponse aux incidents informatiques a publié un rapport qui contenait des indices de compromission. Puis, le 3 octobre, Invima, l’Institut national colombien de surveillance des aliments et des médicaments, a signalé une cyberattaque qui, selon BlackBerry, était de la même souche.
Suite à ces incidents, les chercheurs ont trouvé des soumissions sur le scanner VirusTotal par des victimes apparemment réelles en Chine et au Canada.
Dans leur enquête sur la façon dont le rançongiciel est installé, les chercheurs ont découvert l’utilisation d’AnonFiles, un service de téléchargement anonyme. Il dépose deux fichiers : Le fichier « win.zip » est une archive protégée par mot de passe contenant le fichier « win.exe ». Ce dernier est un fichier d’injection contenant deux ressources – BIN et HTML. La ressource HTML stocke le contenu de la demande de rançon et la ressource BIN contient des données cryptées, probablement le rançongiciel ARCrypter.
Pour déchiffrer la ressource BIN, le fichier d’injection attend un argument « -p » suivi d’un mot de passe. Une fois le mot de passe saisi par le cybercriminel, le fichier d’injection crée un répertoire aléatoire sous l’une des variables d’environnement suivantes :
-
- %TMP%
- %APPDATA%
- %ALLUSERSPROFILE%
- %HOMEPATH%
Le but de ce répertoire nouvellement créé est de stocker la charge utile de deuxième étape, le rançongiciel.
La demande de rançon contient le nom d’utilisateur et le mot de passe requis pour que la victime se connecte au panneau de communication avec les cybercriminels, qui est hébergé sur un site .onion.
Le rapport comprend des indicateurs de compromission que les équipes de sécurité informatique trouveront utiles.
Adaptation et traduction française par Renaud Larue-Langlois.
