Une nouvelle souche de rançongiciel, considérée comme le maliciel de chiffrement le plus rapide à s’exécuter, a été découverte.
Des chercheurs de Check Point Software ont déclaré la semaine dernière que la souche, surnommée Rorschach, avait frappé une société américaine anonyme utilisant un composant signé de l’outil de service Cortex XDR Dump de Palo Alto Networks, version 7.3.0.16740.
Le rançongiciel Rorschach utilise un schéma de cryptographie hybride très efficace et rapide, qui associe les algorithmes de chiffrement curve25519 et eSTREAM hc-128 à des fins de chiffrement, indique le rapport. « Ce processus ne crypte qu’une partie spécifique du contenu du fichier d’origine au lieu du fichier entier. »
Lors d’un test sur un serveur avec six processeurs, 8192 Mo de RAM et 220 000 fichiers sur un disque dur à semi-conducteurs, il a fallu quatre minutes et 30 secondes à Rorschach pour chiffrer les données. En comparaison, il a fallu sept minutes à un échantillon de LockBit 3.0.
Les chercheurs soupçonnent que cette routine de cryptographie hybride ait été empruntée au code source divulgué du rançongiciel Babuk. Les créateurs de Rorschach semblent également avoir été inspirés par l’utilisation par LockBit 2.0 des ports d’achèvement d’E/S pour la planification des fils d’exécution, indique le rapport.
« Rorschach a pris le meilleur des familles de rançongiciels les plus réputées, puis a ajouté ses propres fonctionnalités uniques », concluent les chercheurs.
Lorsqu’il est initialement exécuté sur un contrôleur de domaine Windows (DC), le rançongiciel crée automatiquement une stratégie de groupe, se propageant à d’autres machines du domaine.
Une fonctionnalité similaire a été signalée comme étant incluse dans LockBit 2.0, indique le rapport, bien que le déploiement de Rorschach soit effectué différemment. Rorschach copie ses fichiers dans le dossier des scripts du contrôleur de domaine et les supprime de l’emplacement d’origine. Il crée ensuite une stratégie de groupe qui se copie dans le dossier %Public% de Windows de tous les postes de travail du domaine. Le rançongiciel crée une autre stratégie de groupe pour tenter de tuer une liste de processus prédéfinis. Cela se fait en créant une tâche planifiée en appelant taskkill.exe. Enfin, Rorschach crée une troisième stratégie de groupe qui enregistre une tâche planifiée qui s’exécute immédiatement et lors de la connexion d’un utilisateur, qui exécute l’exécutable principal de Rorschach avec les arguments pertinents.
Rorschach comporte un certain nombre de protections. Le chargeur/injecteur initial, winutils.dll, est protégé par un paquetage de type UPX. Cependant, indique le rapport, cela est modifié de telle manière qu’il n’est pas facilement dépaqueté à l’aide de solutions standard et nécessite un dépaquetage manuel. Après décompression, l’exemple charge et déchiffre config.ini, qui contient la logique du rançongiciel.
Une fois Rorschach injecté dans notepad.exe, il est toujours protégé par VMProtect. Cela se traduit par la virtualisation d’une partie cruciale du code en plus de l’absence d’une table IAT. Ce n’est qu’après avoir vaincu ces deux protections qu’il est possible pour les chercheurs d’analyser correctement la logique du rançongiciel.
Une autre façon d’échapper à la détection consiste à effectuer des appels système directs à l’aide de l’instruction « syscall ». « Bien qu’on l’ait déjà observé dans d’autres souches de logiciels malveillants, il est assez surprenant de voir cela dans les rançongiciels », indique le rapport.
Avant de chiffrer le système cible, l’échantillon exécute deux vérifications du système pour confirmer la langue de l’ordinateur infecté. Si la valeur de retour est couramment utilisée dans les pays de la Communauté des États indépendants (CEI) alignés sur la Russie, y compris la Russie et l’Ukraine, il ne s’exécutera pas.
« Nos conclusions soulignent l’importance de maintenir des mesures de cybersécurité solides pour prévenir les attaques de rançongiciels, ainsi que la nécessité d’une surveillance et d’une analyse continues des nouveaux échantillons de rançongiciels pour garder une longueur d’avance sur l’évolution des menaces », indique le rapport. « Alors que ces attaques continuent de croître en fréquence et en sophistication, il est essentiel que les organisations restent vigilantes et proactives dans leurs efforts pour se protéger contre ces menaces. »
Adaptation et traduction française par Renaud Larue-Langlois.
