L'été meurtrier des ransomwares n'est pas terminé. Identifié depuis le 10 août, des opérateurs malveillants ont débuté leurs activités autour d'un dernier rançongiciel dénommé DarkSide. Ce dernier aurait déjà frappé de nombreuses entreprises avec à la clé des rançons demandées oscillant entre 200 000 et 2 millions de dollars. « Nous sommes un nouveau produit sur le marché, mais cela ne veut pas dire que nous n'avons aucune expérience et que nous venons de nulle part », ont indiqué les cybercriminels. « Nous avons reçu des millions de dollars de bénéfices en nous associant à d'autres cryptolockers bien connus. Nous avons créé DarkSide parce que nous n'avons pas trouvé le produit parfait pour nous. Maintenant, nous l'avons. »
Dans leur annonce, le cybergang annonce qu'il ne compte pas viser certains établissements, à savoir les hôpitaux, les écoles et universités, les organisations à but non lucratif ainsi que le secteur public. Difficile de savoir si cela sera bien le cas, il faudra pour cela un peu de temps et de recul pour le constater. Idem pour les « garanties » apportées aux entreprises ciblées pour déchiffrer un fichier test, fournir un outil de déchiffrement après paiement et du support, ainsi que la suppression des fichiers téléchargés depuis des CND TOR après réglement.
Une clé publique RSA-1024 incluse dans l'exécutable
MalwareHunterTeam a trouvé que le code utilisé dans DarkSide est similaire à ceux de REvil et GrandCrab. « Il utilise GetSystemDefaultUILanguage & GetUserDefaultLangID, qui est très rare dans les ransomware. Les seuls à les utiliser avant sont GrandCrab et REvil ». D'autres analyses montrent aussi des similitudes entre ces rançongiciels, notamment la commande PowerShell utilisée pour effacer les Shadow Volume Copies d'un système afin de neutraliser la restauration de fichiers ainsi que le template du fichier ReadMe.txt. Selon le hacker éthique et CEO d'IntelAdvanced Vitali Kremez, DarkSide procède ensuite à l'extinction de diverses bases de données, applications bureautiques et clients de messagerie pour préparer la machine au chiffrement. Les processus suivants sont notamment terminés : vmcompute.exe, vmms.exe, vmwp.exe, svchost.exe, TeamViewer.exe et explorer.exe.
Le consultant en cybersécurité à l'origine du service ID Ransomware Michael Gillespie, a de son côté expliqué que le ransomware utilise par défaut un chiffrement de flux SALSA20 et que les fichiers peuvent aussi être chiffrés via une clé publique RSA-1024 incluse dans l'exécutable. « Chaque victime aura également une extension personnalisée créée à l'aide d'un checksum personnalisé de l'adresse MAC de la victime. Chaque exécutable est personnalisé pour inclure une note de rançon personnalisée Welcome to Dark, qui comprendra la quantité de données volées, le type de données et un lien vers leurs données sur le site de fuite de données », a indiqué BleepingComputer.
Commentaire