La dernière édition de Ransomware Roundup, pour les mois d’août et de septembre, présente DoDo, Proton, Trash Panda, une nouvelle variante de NoCry, Rhysida Retch et S.H.O. comme des attaques émergentes de ransomware. En quoi consistent-elles, quel est leur impact et comment fonctionnent-elles ?

DoDo

● Vue d’ensemble
> Le ransomware DoDo a été signalé pour la première fois en février de cette année. Il s’agit d’une variante du ransomware Chaos, qui n’est donc pas considéré comme un nouveau ransomware. Toutefois, une version légèrement différente de ce ransomware est apparue récemment.

● Vecteur d’infection
> Les échantillons du ransomware DoDo portent l’icône "Mercurial Grabber", ce qui indique qu’il a probablement été distribué en tant que tel. Mercurial Grabber est un compilateur de malwares open-source qui peut produire un infostealer configuré pour voler des informations. Il convient de noter que les échantillons les plus récents de ce ransomware ont été soumis à un service public de vérification de fichiers dans des pays tels que la France, l’Allemagne et le Royaume-Uni. Des variantes plus anciennes ont également été soumises dans des pays tels que l’Espagne, le Brésil, la Suède et la Serbie.

● Exécution
> Bien que les dernières et les plus anciennes variantes de DoDo aient des notes de rançon légèrement différentes et ajoutent des extensions différentes aux fichiers cryptés, elles ont deux choses en commun : tous les échantillons ont été créés à l’aide de la troisième version de Chaos Builder, qui a été publiée à la mi-2021, et ils utilisent tous la même adresse Bitcoin pour recevoir les paiements de rançon. Le ransomware Chaos Builder 3 présente l’inconvénient de ne pouvoir crypter que les fichiers d’une taille inférieure à 1 Mo.

Les fichiers plus volumineux sont écrasés et considérés comme irrécupérables, sauf si les copies de sauvegarde restent intactes. Cela signifie que DoDo agit comme un wiper pour les fichiers plus volumineux, car l’attaquant ne peut pas récupérer tous vos fichiers, même si la rançon est payée. Pour en savoir plus, cliquez ici.

Proton

● Vue d’ensemble
> Proton est un ransomware récent conçu pour crypter les fichiers sur la plateforme Windows et demander aux victimes de payer une rançon pour récupérer les fichiers affectés.

● Vecteur d’infection
> Aucune information n’est actuellement disponible sur le vecteur d’infection utilisé par l’acteur de menace du ransomware Proton. Toutefois, des échantillons de ce ransomware ont été soumis à un service public de vérification de fichiers provenant notamment des États-Unis, de l’Italie, de l’Inde, de la Chine, de la Corée, de l’Estonie, des Pays-Bas, de l’Allemagne, de la Russie et de l’Ukraine.

● Exécution
> Une fois exécuté, il crypte les fichiers sur les machines des victimes et ajoute une extension ".[adresse électronique de l’attaquant].Proton" aux fichiers concernés. Il modifie également l’icône des fichiers chiffrés et laisse une note de rançon portant le nom "#[ID unique attribué à chaque victime].txt" tout en remplaçant l’arrière-plan du bureau de la victime. Pour en savoir plus, cliquez ici.

Trash Panda

● Vue d’ensemble
> Trash Panda est un ransomware qui fonctionne sur la plateforme Windows et qui a été détecté pour la première fois au début du mois d’août. Il chiffre les fichiers sur les machines compromises, remplace l’arrière-plan du bureau et affiche une note de rançon contenant des messages à caractère politique.

● Vecteur d’infection
> Aucune information sur le vecteur d’infection utilisé par l’acteur de la menace Trash Panda n’est actuellement disponible. Cependant, des échantillons de ce ransomware ont été soumis à un service public de vérification de fichiers dans les pays suivants : les États-Unis et la République tchèque.

Exécution
> Une fois exécuté, il lance une invite de commande qui informe les victimes qu’il chiffre les fichiers - à l’exception des fichiers portant les extensions suivantes : .diagcab, .cpl, .mod, .bat, .nls, .ldf, .dll, .ps1, .adv, .prf .idx, .rtp, .ocx, .icl, . ani, .cab, .rom, .key, .wpx, .icns, .themepack, .msc, .msp, .cur, .theme, .cmd, . diagpkg, .lnk, .ico, .drv, .bin, .nomedia, . lock, .mpa, .hlp, .scr, .shs, .com, .ics, .hta, .msi, .exe, .diagcfg, .msu, .deskthe, .mepack, .386, .msstyles, .spl, .sys. Pour en savoir plus, cliquez ici.

Nova variante do ransomware NoCry

● Vue d’ensemble
> NoCry est un ransomware conçu pour la plateforme Windows qui a été découvert pour la première fois en avril 2021. Des variantes du ransomware NoCry sont produites par les créateurs du ransomware NoCry et vendues sur la chaîne Telegram du groupe.

● Vecteur d’infection
> Apparemment, cette variante était hébergée sur un site web dont l’URL contenait le nom d’une banque privée en Inde ([nom de la banque]-india[.]github[.]io/Start[.]exe), de sorte que nous pensons que l’acteur de la menace a utilisé la banque comme appât ou pour faire passer le fichier pour légitime. Il convient de noter que des échantillons de ce ransomware ont été soumis à un service public de vérification de fichiers dans les pays suivants : les États-Unis et la Malaisie.

Exécution
> Une fois exécutée, cette variante chiffre les fichiers sur les machines compromises, ajoute une extension ".rcry" et affiche une note de rançon. Une curiosité de ce ransomware est qu’il spécifie USDT-TRC20 comme paiement de la rançon. L’USDT-TRC20 est une monnaie émise par Tether sur le réseau TRON, qui est indexée sur le dollar américain et conçue de manière à ce qu’un USDT soit approximativement égal à un dollar américain. Pour en savoir plus, cliquez ici.

Rhysida

● Vue d’ensemble
> Le ransomware Rhysida est un nouveau groupe de ransomware qui utilise le modèle RaaS (Ransomware-as-a-Service) et se compose de programmeurs qui créent et fournissent le ransomware, l’infrastructure nécessaire à son fonctionnement et des affiliés qui mènent des attaques contre les victimes. Son premier échantillon de ransomware a été soumis à un service public d’analyse de fichiers en mai 2023. Le 4 août 2023, le Centre de coordination de la cybersécurité du secteur de la santé (HC3) a émis une alerte sectorielle pour le ransomware Rhysida.

● Vecteur d’infection
> Selon l’alerte du HC3, les acteurs de la menace Rhysida s’appuient sur des attaques de phishing comme vecteur d’infection. Les attaquants utilisent également Cobalt Strike pour effectuer des mouvements latéraux au sein du réseau de la victime. Cobalt Strike est présenté comme un outil d’émulation de l’adversaire permettant aux professionnels de la sécurité de l’information d’évaluer les défenses des réseaux et des systèmes. Cependant, les cybercriminels utilisent souvent cet outil pour compromettre les réseaux et créer des canaux de communication persistants entre l’attaquant et la victime.

● Victimologie
> Le site de fuites (leak website) utilisé par le groupe Rhysida pour vendre aux enchères et exposer les données des victimes compte actuellement 41 victimes. Bien que Rhysida ait touché des organisations du monde entier, plus de 50 % d’entre elles sont situées en Europe, l’Amérique du Nord arrivant en deuxième position.

● Exécution
> Après avoir compromis le réseau de la victime, Rhysidia est susceptible de déployer Cobalt Strike pour se déplacer latéralement dans le réseau et agir en tant que centre de commande et de contrôle. Le ransomware trouve et chiffre les données à l’aide de l’algorithme ChaCha, en ajoutant une extension ".rhysida" aux fichiers affectés. Pour en savoir plus, cliquez ici.

Retch

● Vue d’ensemble
> Retch est une nouvelle variante de ransomware découverte à la mi-août 2023. Il crypte les fichiers sur les machines compromises et laisse deux notes de rançon demandant aux victimes de payer une rançon pour décrypter les fichiers.

● Vecteur d’infection
> Aucune information n’est actuellement disponible sur le vecteur d’infection utilisé par l’acteur de la menace Retch ransomware. Cependant, des échantillons de ce ransomware ont été soumis à un service public de vérification de fichiers dans des pays comme l’Italie, la France et l’Allemagne.

● Exécution
> Lorsque le ransomware est exécuté, il recherche et crypte des fichiers de différentes extensions et place une note de rançon portant le nom "Message.txt" dans tous les dossiers où ils sont cryptés. Toutefois, certains répertoires sont exclus du chiffrement des fichiers : Windows, Programmes et Programmes (x86). Pour en savoir plus, cliquez ici.

S.H.O

● Vecteur d’infection
> Aucune information sur le vecteur d’infection utilisé par le ransomware S.H.O n’est actuellement disponible. Cependant, des échantillons de ce ransomware ont été soumis à un service public de vérification de fichiers dans les pays suivants : États-Unis et Canada.

● Exécution
> Une fois exécuté, il crypte les fichiers sur les machines compromises et ajoute cinq lettres et chiffres aléatoires en tant qu’extensions de fichiers. Une fois le chiffrement terminé, il remplace l’arrière-plan du bureau par son propre fond d’écran dans lequel les victimes sont invitées à rechercher et à lire le fichier "readme.txt", qui est une note de rançon.

FortiGuard Labs a identifié deux variantes du ransomware S.H.O, qui laissent des notes de rançon différentes - bien qu’elles aient des adresses Bitcoin différentes appartenant à l’attaquant, le montant de la rançon reste de 200 $.