Les opérateurs malveillants ne manquent jamais d'imagination lorsqu'ils s'agit de créer des cyberattaques toujours plus originales mais non moins dangereuses. Dernier exemple en date avec le ransomware NewRegret, découvert fin octobre 2020 par MalwareHunterTeam et analysé début novembre par le chercheur en sécurité Vitali Kremez. Bien qu'il ne soit pas véritablement actifà l'heure actuelle, il convient toutefois de s'en méfier, ce dernier recourant à une technique d'infection particulièrement fourbe.
Le rançongiciel NewRegret s'attaque ainsi aux machines virtuelles Windows qui en temps normal sont compliquées à chiffrer étant donné leur taille allant de quelques Go jusqu'à plusieurs To. Le malware utilise les fonctions de montage de disques virtuels Windows Virtual Storage API OpenVirtualDisk, AttachVirtualDisk et GetVirtualDiskPhysicalPatch pour monter de nouvelles VM utilisées pour chiffrer individuellement chaque fichier. L'échantillon de RegretLocker qui a été analysé montre en effet que la technique employée par ce rançongiciel permet un chiffrement individuel ajoutant une extension .mouse à chacune fichier concerné. Le code utilisé par RegretLocker pour monter une VHD proviendrait de celui partagé sur GitHub par un chercheur en sécurité smelly__vx.
Windows Restart Manager API aussi utilisé
En plus d'utiliser Virtual Storage API, RegretLocker se sert aussi de Windows Restart Manager API pour clôturer le processus ou services Windows conservant un fichier ouvert pendant le chiffrement. Vitali Kremez a par ailleurs précisé à Bleeping Computer que si le nom du processus contient « vnc », « ssh », « mstsc », « System » ou « svchost.exe », le ransomware ne le clôture pas. Cette liste d'exception est utilisée vraisemblablement pour prévenir l'arrêt de programmes critiques ou ceux utilisés par l'opérateur malveillant pour accéder à un système compromis. A noter que la fonction Windows Restart Manager est aussi employée par des ransomwares bien connus comme REvil (Sodinokibi), Ryuk, Conti, ThunderX/Ako, Medusa, Locker, SamSam et LockerGoga.
Commentaire