Le gang de ransomware LockFile a commencé ses opérations le mois dernier, il a récemment été repéré ciblant les serveurs Microsoft Exchange en utilisant les vulnérabilités ProxyShell récemment révélées. Le célèbre expert en sécurité Kevin Beaumont a été l'un des premiers chercheurs à signaler que les opérateurs de LockFile utilisent les vulnérabilités Microsoft Exchange ProxyShell et Windows PetitPotam pour s'emparer des domaines Windows.
Les chercheurs de Sophos ont découvert que le groupe exploite désormais une nouvelle technique appelée « chiffrement intermittent » pour accélérer le processus de chiffrement.
 Les opérateurs derrière le ransomware LockFile chiffrent des blocs alternatifs de 16 octets dans un document pour échapper à la détection. C'est la première fois que les experts Sophos voient cette approche utilisée dans une attaque de ransomware.

« Le chiffrement partiel est généralement utilisé par les opérateurs de ransomware pour accélérer le processus de chiffrement et nous avons vu les ransomwares BlackMatter, DarkSide et LockBit 2.0 implémenter cette technique », a déclaré Mark Loman, directeur de l’ingénierie chez Sophos. « Ce qui distingue LockFile, c’est que, contrairement aux autres, il ne crypte pas les premiers blocs. Au lieu de cela, LockFile crypte tous les 16 octets d’un document. Cela signifie qu’un fichier tel qu’un document texte reste partiellement lisible et ressemble statistiquement à l’original. Cette astuce peut être efficace contre un logiciel de détection de ransomware qui repose sur l’inspection du contenu à l’aide d’une analyse statistique pour détecter le cryptage.

Les experts de Sophos ont repéré la nouvelle technique lors de l’analyse d’un échantillon LockFile (hachage SHA-256 : bf315c9c064b887ee3276e1342d43637d8c0e067260946db45942f39b970d7ce) qui a été téléchargé sur VirusTotal le 22 août 2021.

Le ransomware utilise l’interface de gestion Windows (WMI) pour mettre fin aux processus critiques associés aux logiciels de virtualisation et aux bases de données afin de supprimer tous les verrous susceptibles d’interférer avec le cryptage des fichiers.

La demande de rançon est un fichier d’application HTML (HTA) (par exemple, « LOCKFILE-README-[hostname]-[id].hta ») qui est déposé à la racine du lecteur. La note de rançon HTA utilisée par LockFile ressemble beaucoup à celle utilisée par le ransomware LockBit 2.0 :

Les victimes du gang de rançongiciels Lockfile se trouvent dans les secteurs de la fabrication, des services financiers, de l’ingénierie, du droit, des services aux entreprises, des voyages et du tourisme.

La demande de rançon utilisée par le gang Lockfile est similaire à celle utilisée par les opérateurs de ransomware LockBit et fait référence au gang Conti dans l’adresse e-mail utilisée (contact@contipauper[.]com).

Une fois les fichiers cryptés, le ransomware ajoutera l’extension .lockfile aux noms du fichier crypté et supprimera le binaire du ransomware du système.

« Une fois qu’il a crypté tous les documents sur la machine, le ransomware se supprime avec la commande suivante :

cmd /c ping 127.0.0.1 -n 5 && del “C:\Users\Mark\Desktop\LockFile.exe” && exit

La commande PING envoie cinq messages ICMP à l’hôte local (c’est-à-dire lui-même), et il s’agit simplement d’une veille de cinq secondes pour permettre au processus de ransomware de se fermer avant d’exécuter la commande DEL pour supprimer le binaire du ransomware. déclare Sophos. « Cela signifie qu’après l’attaque par ransomware, il n’y a pas de binaire de ransomware pour les intervenants en cas d’incident ou de logiciel antivirus à trouver ou à nettoyer. »

Cyberdefence.ma

LEAVE A REPLY

Please enter your comment!
Please enter your name here