Logiciels de rançon
Cette entrée de blog examine les caractéristiques d’une nouvelle variante de ransomware WannaRen, que nous avons nommée Life ransomware d’après son extension de chiffrement.
De : Don Ovid Ladores, Jeffrey Francis Bonaobra
23 novembre 2022
Temps de lecture: ( mots)
Bien qu’il ne soit pas aussi connu que les familles de ransomwares telles que Ryuk, REvil ou Maze, le ransomware WannaRen s’est fait un nom en 2020 après avoir lancé des attaques contre les internautes chinois, infectant des dizaines de milliers de victimes. Cependant, il est devenu relativement silencieux depuis cette attaque, les auteurs du rançongiciel partageant même sa clé de chiffrement privée avec une société de sécurité en août 2020.
En octobre 2022, nous avons découvert ce que nous pensions initialement être un nouveau rançongiciel, pour ensuite l’analyser et découvrir qu’il pourrait s’agir d’une résurgence du WannaRen en sommeil. Cette entrée de blog examine les caractéristiques de cette nouvelle variante, que nous avons nommée Life ransomware d’après son extension de chiffrement. Contrairement aux attaques de ransomware WannaRen de 2020 qui ciblaient auparavant la Chine et Taïwan, les attaques de la nouvelle variante ciblaient des organisations en Inde.
La variante 2020 du rançongiciel WannaRen a été distribuée sous la forme d’un code PowerShell malveillant associé à des outils d’activation. Le script a ensuite obtenu un téléchargeur PowerShell qui s’est connecté à un lien pour récupérer les modules malveillants du rançongiciel. Contrairement à sa version précédente, cette nouvelle variante utilise un fichier de commandes pour télécharger et exécuter WINWORD.exe afin d’effectuer le chargement latéral de DLL et de charger le ransomware en mémoire.
Nous avons d’abord découvert l’infection sous le processus d’un exécutable non malveillant WINWORD.exe (le fichier exécutable de Microsoft Word). Cependant, une enquête plus approfondie a révélé que cette infection était un logiciel malveillant à plusieurs composants qui abusait WINWORD.exe pour le chargement latéral malveillant de DLL (vers la fin du mois d’octobre, nous avons trouvé des variantes abusant NTSD.exe Au lieu). De plus, le ransomware réel est également déposé dans le système sous forme de fichier crypté, les attaquants utilisant des arguments de ligne de commande fournis à WINWORD pour récupérer le ransomware.
Notez, cependant, que l’incorporation de cet ensemble de routines dans une attaque de ransomware n’est pas nouvelle ; nous avons vu des approches similaires dans l’exécution par des groupes plus importants tels que LockBit.
WannaRen est également connu pour avoir imité certains aspects de WannaCry (dont il a été inventé), en particulier dans sa méthode de livraison : il a été observé dans le passé en utilisant des installateurs trojanisés et en abusant d’exploits tels que EternalBlue pour la livraison. (en hommage à , qui est également l’endroit où son nom a été inventé après). Et après une longue pause, il est de retour avec de nouvelles astuces ajoutées à son arsenal. Vers la fin octobre, nous avons même trouvé des variantes abusant de NTSD.exe à la place.
En plus de son téléchargeur, la version précédente de WannaRen a été injectée dans divers processus, notamment svchost.exe, cmd.exe, mmc.exe, ctfmon.exe et rekeywiz.exe. Cette variante, en revanche, n’était chargée en mémoire que pour exécuter sa routine de ransomware.
Lors de l’exécution, WINWORD.exe chargera wwlib.dll et exécutera son exportation FMain.
Une fois chargé, wwlib.dll commence par analyser les arguments d’exécution passés. Il recherche d’abord le shellcode crypté, sc.dat, et vérifie si le fichier existe dans le même répertoire où se trouvent les modules malveillants. Semblable au shellcode, il recherche également le binaire du ransomware crypté, config.bin, et vérifie si le fichier existe dans le même répertoire où se trouvent les modules malveillants. S’il est trouvé, il utilise le shellcode déchiffré pour charger le ransomware en mémoire, puis poursuit sa routine de ransomware.
Bien que nous n’ayons pas encore pleinement vérifié la corrélation entre la nouvelle variante de WannaRen et l’utilisation de la boîte à outils des Shadow Brokers (alias la fuite Outils du groupe d’équations) dans cette récente attaque, il convient certainement de noter que de nombreux systèmes affectés par WannaRen disposent des outils de piratage mentionnés dans leur système.
Il semble également que l’ensemble du package ransomware (binaires non malveillants et DLL troyens) soit livré sous forme de bundles MSI.
Une fois que le rançongiciel Life a crypté un fichier, il y ajoute l’extension « .life ». Une note de rançon, “LISEZ-MOI.txt”est alors créé dans le dossier %Desktop%.
Bien que la variante initiale de WannaRen n’ait été active que pendant une courte période, elle a réussi à causer beaucoup de dégâts pendant cette période. Avec sa réémergence en tant que nouvelle variante, il est possible que les opérateurs d’origine (ou les acteurs malveillants qui ont réussi à accéder à son code) cherchent à s’étendre à d’autres régions.
Pour se défendre contre les attaques de ransomwares, les organisations doivent envisager de mettre en œuvre une approche multicouche de la sécurité afin de protéger les points d’entrée possibles dans le système (point de terminaison, e-mail, Web et réseau). Les solutions de sécurité suivantes peuvent détecter les composants malveillants et les comportements suspects :
- Trend Micro Vision One™ fournit une protection multicouche et une détection des comportements, ce qui aide à bloquer les comportements et les outils douteux dès le début avant que le ransomware ne cause des dommages irréversibles au système.
- Trend Micro Cloud One™ Workload Security protège les systèmes contre les menaces connues et inconnues qui exploitent les vulnérabilités. Cette protection est rendue possible grâce à des techniques telles que les correctifs virtuels et l’apprentissage automatique.
- Trend Micro™ Deep Discovery™ Email Inspector utilise un sandboxing personnalisé et des techniques d’analyse avancées pour bloquer efficacement les e-mails malveillants, y compris les e-mails de phishing qui peuvent servir de points d’entrée pour les ransomwares.
- Trend Micro Apex One™ offre une détection et une réponse automatisées des menaces de niveau supérieur contre les problèmes avancés tels que les menaces sans fichier et les ransomwares, garantissant la protection des terminaux.
Indicateurs de compromis (IOC)
Les indicateurs de compromis pour cette entrée de blog peuvent être trouvés ici.
Mots clés
sXpIBdPeKzI9PC2p0SWMpUSM2NSxWzPyXTMLlbXmYa0R20xk