AGENCE NATIONALE DES TECHNOLOGIES DE L’INFORMATION
ET DE LA COMMUNICATION
NATIONAL AGENCY FOR INFORMATION AND COMMUNICATION
TECHNOLOGIES Centre d’Alerte et de Réponse et
Aux Incidents de Sécurité Informatique
Computer Incident Response Team
ALERTE DE SECURITE
Le Ransomware WastedLocker
Alerte de sécurité : Le Ransomware WastedLocker Page 2/7
Contenu
I. Résumé ... 3
II. Fonctionnement ... 3
III. Conclusion ... 4
IV. Annexe ... 5
Alerte de sécurité : Le Ransomware WastedLocker Page 3/7
I. Résumé
Les cybercriminels du groupe russe Evil Corp ont lancé une campagne mondiale d’infection à travers un nouveau ransomware appelé WastedLocker. Ce ransomware est utilisé dans des attaques ciblées contre les entreprises qui opèrent dans tous les secteurs.
Evil Corp, également connu sous le nom d'Indrik Spider, a commencé comme affilié au botnet ZeuS. Au fil du temps, ils ont formé un groupe qui s'est concentré sur la distribution du cheval de Troie bancaire et du téléchargeur appelé Dridex via des e-mails de phishing. Au fur et à mesure de l’évolution de leurs attaques, le groupe a créé un ransomware appelé BitPaymer qui a été livré via le malware Dridex lors d'attaques ciblées.
Après l'inculpation des membres d'Evil Corp, Igor Olegovich Turashev et Maksim Viktorovich Yakubets pour cybercriminalité, le groupe a commencé à restructurer ses tactiques.
Dans le cadre de cette restructuration, Evil Corp a commencé à distribuer une nouvelle variante de ransomware appelée WastedLocker lors d'attaques ciblées contre les entreprises.
II. Fonctionnement
Evil Corp est sélectif en termes d'infrastructure qu'il cible lors du déploiement de son ransomware. En général, ils atteignent les serveurs de fichiers, les services de base de données, les machines virtuelles et les environnements cloud. Ces choix seront également fortement influencés par ce que les chercheurs appellent leur « modèle commercial » ce qui signifie également qu'ils sont capables de désactiver ou de perturber les applications de sauvegarde et l'infrastructure connexe.
Pour livrer le ransomware, Evil Corp pirate des sites pour y insérer du code malveillant qui affiche de fausses alertes de mise à jour logicielle. L'un des exploits envoyés dans ces attaques est la boîte à outils de test de pénétration et de post-exploitation Cobalt Strike, qu'Evil Corp utilise pour accéder au périphérique infecté.
Les acteurs de la menace utilisent ensuite cet accès pour compromettre davantage le réseau et déployer le WastedLocker Ransomware. Des chercheurs ont noté que contrairement aux attaques DoppelPaymer, créé par un groupe annexe de cybercriminels, les attaques WastedLocker ne semblent pas voler les données avant de crypter les fichiers.
Une fois lancé, le rançongiciel WastedLocker choisira un fichier EXE ou DLL aléatoire sous C: \ Windows \ System32 et utilisera le nom de ce fichier pour créer un nouveau fichier sans extension dans le dossier% AppData%. Il joint à ce fichier un flux de données alternatif nommé «bin », qui sera ensuite exécuté. Une fois exécuté, le ransomware tentera de crypter tous les lecteurs de l'ordinateur, en sautant des fichiers dans des dossiers spécifiques ou contenant certaines extensions. Par exemple, au lieu d'inclure une liste de cibles d'extension, WastedLocker inclut une liste de répertoires et d'extensions à exclure du processus de chiffrement. Les fichiers d'une taille inférieure à 10 octets sont également ignorés et dans le cas d'un fichier volumineux, le ransomware les crypte en blocs de 64 Mo.
Alerte de sécurité : Le Ransomware WastedLocker Page 4/7 Ces attaques sont ciblées, ce qui signifie que le ransomware est spécialement conçu pour atteindre une entreprise. Dans le cadre de cette personnalisation, le ransomware combinera la chaîne « gaspillée » et les initiales de l'entreprise pour générer une extension qui sera ajoutée aux fichiers cryptés d'une victime.
Pour chaque fichier chiffré, WastedLocker créera également une note de rançon d'accompagnement se terminant par _info. Par exemple, si les fichiers d'Acme Corporation étaient cryptés, le fichier 1.doc serait crypté et renommé en 1.doc.acwasted, et une note de rançon sera créée appelée 1.jpg.acwasted_info, comme illustré dans l’annexe.
Cette tactique est étrange, car aucun programme ne peut l'ouvrir automatiquement par rapport à une note de rançon utilisant l'extension .txt. Cette note de rançon contient à la fois une adresse e-mail protonmail.com et tutanota.com et des instructions pour les contacter pour le montant de la rançon qui vont de 500 000 $ à des millions de dollars.
III. Conclusion
WastedLocker semble être sécurisé à ce stade, ce qui signifie qu'il n'y a aucun moyen de décrypter les fichiers gratuitement.
Néanmoins pour éviter d’être victime d’un acteur malveillant connu ou non, il est recommandé de prendre les précautions suivantes :
Utilisez des outils de sécurité de pointe et assurez-vous d’avoir accès aux plus récentes données de veille sur les cybermenaces ;
Veillez à mettre à jour régulièrement tous vos logiciels, en installant chaque nouveau correctif de sécurité dès sa publication. Des produits de sécurité offrant des fonctions d’analyse des vulnérabilités et de gestion des correctifs peuvent vous aider à automatiser ces processus.
Choisissez une solution de sécurité éprouvée dotée de capacités de détection comportementale pour une protection efficace contre les menaces connues et inconnues, notamment les exploitations de vulnérabilités.
Armez-vous des règles élémentaires de cyber-hygiène.
Alerte de sécurité : Le Ransomware WastedLocker Page 5/7
IV. Annexe
Figure 1: Fake software update alerts
Figure 2: Ransomware executable in %AppData%
Alerte de sécurité : Le Ransomware WastedLocker Page 6/7
Figure 3: Alternate Data Stream
Figure 4: WastedLocker encrypted files
Alerte de sécurité : Le Ransomware WastedLocker Page 7/7
Figure 5: WastedLocker ransom note
Figure 6: Ransom note text
