Fonctionnement du rançongiciel
Le rançongiciel QNAPCrypt fonctionne de la même manière que les autres rançongiciels, y compris le chiffrement de tous les fichiers et l'envoi d'une note de rançon. Cependant, il existe des différences importantes :
- La note de rançon est uniquement incluse dans un fichier texte, sans aucun message à l'écran ;
- Chaque victime reçoit un porte-monnaie Bitcoin unique et différent ;
- Une fois la victime compromise, le logiciel malveillant demande au serveur de commande et de contrôle (C & C) une adresse de portefeuille et une clé RSA publique avant le chiffrement du fichier.
Comment a-t-il été intercepté ?
Pour approfondir la recherche sur les logiciels malveillants et leur fonctionnement, les chercheurs d’Intezer ont écrit un script simulant les infections à grande échelle afin de déterminer le fonctionnement et le mécanisme de génération du portefeuille. Après avoir simulé les infections de centaines « victimes » virtuelles, ils ont rapidement remarqué deux faiblesses majeures dans ce processus :
- la liste des portefeuilles de Bitcoin a été créée à l’avance et était statique, ce qui signifie qu’il existait un nombre fini de portefeuilles disponibles ;
- l'infrastructure des attaquants n'a effectué aucune authentification sur les périphériques connectés et prétendant être infectés.
Ces vulnérabilités ont permis aux chercheurs d'écrire un script pouvant émuler un nombre illimité d'infections simulées. Après avoir usurpé les infections de près de 1 100 appareils issus de 15 campagnes différentes, les « hackers éthiques » ou les hackers chapeaux blancs ont épuisé la réserve de portefeuilles en Bitcoins unique destinée à leurs victimes. En conséquence, toute infection future était vouée à l’échec et les auteurs de ce logiciel malveillant ont été contraints de mettre à jour leurs implants afin de contourner cette faille de conception de leur infrastructure et de poursuivre ainsi leurs opérations malveillantes.
« Les attaquants ressemblent finalement à tous les autres développeurs, et ils ont parfois des défauts de conception, exactement comme dans ce cas », a écrit Ari Eitan, vice-président de la recherche d'Intezer, dans un courrier électronique. « Nous en avons profité en tant que défenseurs. Autant que nous sachions, personne n'a pratiqué ce type d'opération DoS dans le passé ».
Contre-attaque des cybercriminels
Les développeurs de rançongiciels ont contre-attaqués en mettant à jour leur code pour inclure les portefeuilles et la clé RSA dans le fichier exécutable qui est envoyé aux machines ciblées. Cette charge utile « sans connexion », comme l'appel les chercheurs d'Intezer, permet aux attaquants de vaincre le DoS. Alors que les opérations de QNAPCrypt résistent, les « hackers éthiques » ont tout de même remporté une autre victoire clé.
L'implant mis à jour partage un code presque identique à Linux Rex, une souche de rançongiciel découverte pour la première fois en 2016 et infectant les serveurs Drupal lors d'opérations de rançongiciel et de DDoS. Cela donne à Intezer et aux autres défenseurs de nouvelles idées et informations pour vaincre une souche de rançongiciel qui, jusqu’à présent, est restée pratiquement non détectée.
Les chercheurs déclarent que les taux de détection de QNAPCrypt sont faibles et le logiciel malveillant pourrait entraîner des pertes monétaires considérables et des dommages économiques par rapport à d’autres types de menaces Linux. « Nous avons créé une signature YARA personnalisée pour détecter les futures variantes de QNAPCrypt » indiquent ces chercheurs.
Code : | Sélectionner tout |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 | rule QnapCrypt { meta: author = "Intezer" date = "10-06-2019" strings: $a = "Do NOT remove this file and NOT remove last line in this file!" nocase $b0 = "main.writemessage" $b1 = "inf.1st.3ds.3fr.4db.4dd.602.a4p.a5w.abf.abw.act.adr.aep.aes.aex.aim.alx.ans.apk.apt.arj.aro.arw.asa.asc.ase.asp.asr.att.aty.avi.awm.awp.awt.aww.axd.bar.bat.bay.bc6.bc7.big.bik.bin.bit.bkf.bkp.bml.bok.bpw.bsa.bwp.bz2.c++.cab.cas.cat.cdf.cdr.cer.cfg.cfm.cfr.cha.chm.cms.con.cpg.cpp.cr2.crl.crp.crt.crw.csp.csr.css.csv.cxx.dap.das.dat.db0.dba.dbf.dbm.dbx.dcr.der.dll.dml.dmp.dng.doc.dot.dwg.dwk.dwt.dxf.dxg.ece.eml.epk.eps.erf.esm.ewp.far.fdb.fit.flv.fmp.fos.fpk.fsh.fwp.gdb.gho.gif.gne.gpg.gsp.gxk.hdm.hkx.htc.htm.htx.hxs.idc.idx.ifx.iqy.iso.itl.itm.iwd.iwi.jcz.jpe.jpg.jsp.jss.jst.jvs.jws.kdb.kdc.key.kit.ksd.lbc.lbf.lrf.ltx.lvl.lzh.m3u.m4a.map.max.mdb.mdf.mef.mht.mjs.mlx.mov.moz.mp3.mpd.mpp.mvc.mvr.myo.nba.nbf.ncf.ngc.nod.nrw.nsf.ntl.nv2.nxg.nzb.oam.odb.odc.odm.odp.ods.odt.ofx.olp.orf.oth.p12.p7b.p7c.pac.pak.pdb.pdd.pdf.pef.pem.pfx.pgp.php.png.pot.ppj.pps.ppt.prf.pro.psd.psk.psp.pst.psw.ptw.ptx.pub.qba.qbb.qbo.qbw.qbx.qdf.qfx.qic.qif.qrm.r3d.raf.rar.raw.re4.rim.rjs.rsn.rss.rtf.rw2.rw3.rwl.rwp.saj.sav.sdb.sdc.sdf.sht.sid.sie.sis.sko.slm.snx.spc.sql.sr2.src.srf.srw.ssp.stc.stl.stm.stp.sum.svc.svg.svr.swz.sxc.t12.t13.tar.tax.tbl.tbz.tcl.tgz.tib.tor.tpl.txt.ucf.upk.url.vbd.vbo.vcf.vdf.vdi.vdw.vlp.vmx.vpk.vrt.vtf.w3x.wav.wb2.wbs.wdb.web.wgp.wgt.wma.wml.wmo.wmv.woa.wpd.wpp.wps.wpx.wrf.x3f.x_t.xbl.xbm.xht.xla.xlk.xll.xlm.xls.xlt.xlw.xml.xpd.xpm.xps.xss.xul.xwd.xws.xxx.zfo.zip.zul.zvz" $b2 = "main.makesecret" $b3 = "main.chDir" $b4 = "main.writemessage" $b5 = "main.randSeq" $b6 = "main.encrypt" condition: $a or any of ($b*) } |
Et vous ?
Qu'en pensez-vous ?
Voir aussis :
Quelles sont les cybermenaces qu'il faut le plus surveiller en 2018 ? Le MIT Technology Review nous donne ses prédictions
Pour Ursula von der Leyen, les cyberattaques représentent la plus grande menace pour la stabilité des pays, menace avérée ou analyse exagérée ?