UDP, Imgur et Google Maps dans la boîte à outils du ransomware Cry

Des chercheurs mettent le public en garde contre l’apparition d’une nouvelle souche de ransomware. En presque deux semaines, 8 000 infections imputables à ce malware Windows ont été enregistrées. Il est diffusé par une organisation gouvernementale inconnue. D’après le nom de l’institution, la Central Security Treatment Organization, il s’agirait d’un centre de réaction face aux cyberincidents dont le rôle consiste également à offrir une aide, gratuite, pour le déchiffrement de fichiers.

Le malware CryLocker, connu également sous le nom de Cry (sur la base de l’extension aoutée aux fichiers chiffrés) ou CSTO (acronyme du nom de l’organisation inventée par les individus malintentionnés) a été découvert par un chercheur qui se fait appeler MalwareHunterTeam. Ce nouveau ransomware se distingue par le fait qu’il utilise le protocole UDP pour envoyer les données relatives au système infecté au serveur de commande. CryLocker conserve également ces informations sur des sites accessibles tels que Imgur et est capable de déterminer la position approximative des victimes à l’aide de Google Maps.

Cet exemplaire a été étudié par une équipe de MalwareHunterTeam composée de Daniel Gallagher et Lawrence Abrams. Lawrence Abrams a partagé les premières conclusions dans un billet publié sur BleepingComputer.com tout en signalant que l’analyse était toujours en cours et qu’il restait de nombreux points à éclaircir. Ainsi, au moment de publier ces informations, le mode de propagation de CryLocker était encore inconnu, mais Lawrence Abrams a actualisé son billet depuis lors : il semblerait que le ransomware est propagé via le kit d’exploitation d’un tiers. On ne sait toujours pas non plus s’il est possible de récupérer les fichiers sans payer la rançon.

Lawrence Abrams a expliqué aux journalistes de Threatpost qu’au moment où il s’est penché sur l’analyse de CryLocker avec MalwareHunterTeam (le 2 septembre), le malware comptait environ 3 200 victimes. Deux jours plus tard, ce chiffre était passé à 6 800 et le 5 septembre, on dénombrait 8 000 victimes. Tout semble indiquer que ce nouveau ransomware est toujours en phase de développement : Daniel Gallagher a découvert un nouvel exemplaire le 6 septembre.

A l’instar de nombreux autres ransomwares, CryLocker crée deux fichiers de demande de rançon sur l’ordinateur de la victime : Recovery_[chiffres_aléatoires].html et !Recovery_[chiffres_aléatoires].txtencrypts. Il exige une « commission » de 625 dollars américains pour CSTO afin de déchiffrer les fichiers. Le site Internet créé pour les paiements est hébergé dans le réseau anonyme Tor et utilise quelques éléments des logos du FBI et de la CIA.

CSTO

Les informations relatives à la victime comme la version de Windows utilisée, le nom de l’ordinateur et le type de processeur sont envoyées vers 4 000 adresses IP différentes, dont une correspond à l’adresse du serveur de commande. Lawrence Abrams pense que cette astuce permet aux individus malintentionnés de masquer l’emplacement du serveur de commande et d’empêcher sa mise hors service. Cerber utilisait une méthode identique. En mai, des chercheurs de chez Invincea ont détecté une version de ce ransomware capable de créer un flux parasite de paquets UDP dans le sous-réseau (sur le port 6892). Si les individus malintentionnés substituent l’adresse IP de la source des requêtes, il peuvent rediriger les réponses vers une cible définie et provoquer un éventuel déni de service.

CryLocker transforme les données des victimes en fichier png afin de pouvoir les entreposer dans des albums de photos sur Imgur. « Une fois que le fichier a été chargé, Imgur renvoie son nom unique. Ce nom de fichier est ensuite transmis (pas toujours) aux 4 096 adresses IP afin de signaler l’apparition d’une nouvelle victime au centre de commande » écrit Lawrence Abrams.

L’analyse a également indiqué que CryLocker invoque l’interface API de Google Maps afin d’obtenir les identifiants SSID des paquets envoyés depuis les réseaux sans fil proches. Le malware peut obtenir la liste de ces réseaux et leurs SSID grâce à la fonction Windows WlanGetNetworkBssList. En interrogeant tous les SSID visibles sur l’ordinateur infecté, CryLocker peut, à l’aide de Google Maps, localiser approximativement l’utilisateur. Ce genre d’information a de la valeur mais pour l’instant, on ne connaît pas son utilité pour l’individu malintentionné. Lawrence Abrams est convaincu que l’individu malintentionné, muni de ces informations, peut intimider davantage la victime et la convaincre de payer.

Dans les commentaires qu’il a partagés avec Threatpost, l’expert a avancé l’hypothèse selon laquelle les individus malintentionnés ont lancé leur campagne à la fin du mois d’août. Du moins, le développeur de CryLocker avait déjà testé le 25 août le téléchargement de fichiers png à l’aide d’une ligne unique : LOLWTFAMIDOINGHERE (« qu’est ce que je fous ici ? »).

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *