Infos

UDP, Imgur et Google Maps dans la boîte à outils du ransomware Cry

Des chercheurs mettent le public en garde contre l’apparition d’une nouvelle souche de ransomware. En presque deux semaines, 8 000 infections imputables à ce malware Windows ont été enregistrées. Il est diffusé par une organisation gouvernementale inconnue. D’après le nom de l’institution, la Central Security Treatment Organization, il s’agirait d’un centre de réaction face aux cyberincidents dont le rôle consiste également à offrir une aide, gratuite, pour le déchiffrement de fichiers.

Le malware CryLocker, connu également sous le nom de Cry (sur la base de l’extension aoutée aux fichiers chiffrés) ou CSTO (acronyme du nom de l’organisation inventée par les individus malintentionnés) a été découvert par un chercheur qui se fait appeler MalwareHunterTeam. Ce nouveau ransomware se distingue par le fait qu’il utilise le protocole UDP pour envoyer les données relatives au système infecté au serveur de commande. CryLocker conserve également ces informations sur des sites accessibles tels que Imgur et est capable de déterminer la position approximative des victimes à l’aide de Google Maps.

Cet exemplaire a été étudié par une équipe de MalwareHunterTeam composée de Daniel Gallagher et Lawrence Abrams. Lawrence Abrams a partagé les premières conclusions dans un billet publié sur BleepingComputer.com tout en signalant que l’analyse était toujours en cours et qu’il restait de nombreux points à éclaircir. Ainsi, au moment de publier ces informations, le mode de propagation de CryLocker était encore inconnu, mais Lawrence Abrams a actualisé son billet depuis lors : il semblerait que le ransomware est propagé via le kit d’exploitation d’un tiers. On ne sait toujours pas non plus s’il est possible de récupérer les fichiers sans payer la rançon.

Lawrence Abrams a expliqué aux journalistes de Threatpost qu’au moment où il s’est penché sur l’analyse de CryLocker avec MalwareHunterTeam (le 2 septembre), le malware comptait environ 3 200 victimes. Deux jours plus tard, ce chiffre était passé à 6 800 et le 5 septembre, on dénombrait 8 000 victimes. Tout semble indiquer que ce nouveau ransomware est toujours en phase de développement : Daniel Gallagher a découvert un nouvel exemplaire le 6 septembre.

A l’instar de nombreux autres ransomwares, CryLocker crée deux fichiers de demande de rançon sur l’ordinateur de la victime : Recovery_[chiffres_aléatoires].html et !Recovery_[chiffres_aléatoires].txtencrypts. Il exige une « commission » de 625 dollars américains pour CSTO afin de déchiffrer les fichiers. Le site Internet créé pour les paiements est hébergé dans le réseau anonyme Tor et utilise quelques éléments des logos du FBI et de la CIA.

CSTO

Les informations relatives à la victime comme la version de Windows utilisée, le nom de l’ordinateur et le type de processeur sont envoyées vers 4 000 adresses IP différentes, dont une correspond à l’adresse du serveur de commande. Lawrence Abrams pense que cette astuce permet aux individus malintentionnés de masquer l’emplacement du serveur de commande et d’empêcher sa mise hors service. Cerber utilisait une méthode identique. En mai, des chercheurs de chez Invincea ont détecté une version de ce ransomware capable de créer un flux parasite de paquets UDP dans le sous-réseau (sur le port 6892). Si les individus malintentionnés substituent l’adresse IP de la source des requêtes, il peuvent rediriger les réponses vers une cible définie et provoquer un éventuel déni de service.

CryLocker transforme les données des victimes en fichier png afin de pouvoir les entreposer dans des albums de photos sur Imgur. « Une fois que le fichier a été chargé, Imgur renvoie son nom unique. Ce nom de fichier est ensuite transmis (pas toujours) aux 4 096 adresses IP afin de signaler l’apparition d’une nouvelle victime au centre de commande » écrit Lawrence Abrams.

L’analyse a également indiqué que CryLocker invoque l’interface API de Google Maps afin d’obtenir les identifiants SSID des paquets envoyés depuis les réseaux sans fil proches. Le malware peut obtenir la liste de ces réseaux et leurs SSID grâce à la fonction Windows WlanGetNetworkBssList. En interrogeant tous les SSID visibles sur l’ordinateur infecté, CryLocker peut, à l’aide de Google Maps, localiser approximativement l’utilisateur. Ce genre d’information a de la valeur mais pour l’instant, on ne connaît pas son utilité pour l’individu malintentionné. Lawrence Abrams est convaincu que l’individu malintentionné, muni de ces informations, peut intimider davantage la victime et la convaincre de payer.

Dans les commentaires qu’il a partagés avec Threatpost, l’expert a avancé l’hypothèse selon laquelle les individus malintentionnés ont lancé leur campagne à la fin du mois d’août. Du moins, le développeur de CryLocker avait déjà testé le 25 août le téléchargement de fichiers png à l’aide d’une ligne unique : LOLWTFAMIDOINGHERE (« qu’est ce que je fous ici ? »).

Fonte: Threatpost

UDP, Imgur et Google Maps dans la boîte à outils du ransomware Cry

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception