Touché mais pas coulé ? Si le cybergang derrière le très dangereux rançongiciel DarkSide a subi un coup extrêmement dur pour ses activités malveillantes il y a quelques dizaines d'heures, il n'a peut être pas dit son dernier mot. En guise de testament, cet opérateur a peut être laissé derrière lui un redoutable variant de sa création. C'est en tout cas ce que tend à montrer une dernière étude de Fortinet qui a passé au grill une version de DarkSide très évoluée qui sévit actuellement. Cette dernière serait ainsi capable de détecter et de compromettre des partitions de disques durs avec une très grande efficacité.
« Au moment de la découverte, les chercheurs de FortiGuard Labs pensaient que le ransomware recherchait des partitions pour trouver d'éventuelles partitions cachées configurées par les administrateurs système pour masquer les fichiers de sauvegarde. Mais une analyse plus approfondie a confirmé une technique encore plus avancée », peut-on lire dans une analyse technique. « Cette déclinaison de DarkSide recherche des partitions sur un système à démarrage multiple pour trouver des fichiers supplémentaires à crypter, causant ainsi des dommages plus importants et une incitation accrue à payer une rançon pour récupérer des fichiers ».
La recherche de Fortinet est éclairante à plus d'un titre. Tout d'abord elle montre que le code de ce variant de DarkSide est à la fois « efficace et bien construit », plaidant en faveur d'un groupe doté de compétences en cyberpiratage hors norme. On est donc loin du groupe de hackers du dimanche. L'analyse révèle par ailleurs que cette version du rançongiciel n'est pas celle qui a été utilisée lors du hack de Colonial Pipeline. Elle est de nature « plus avancée » et est capable de « rechercher des partitions dans un environnement à démarrage multiple pour créer des dommages supplémentaires », prévient l'éditeur. « Il recherche également le contrôleur de domaine et se connecte à son annuaire actif via LDAP ». Mais ce n'est pas tout : les infrastructures hôte depuis lesquelles DarkSide opère s'avèrent être utilisées depuis des années par un grand nombre d'opérateurs malveillants. Notamment lors d'actions de piratage d'envergure telle que la cyberattaque sur la convention démocrate à l'investiture pour la présidentielle américaine de 2016.
Un mode d'infection inédit sur la scène ransomware
« FortiGuard Labs a rencontré de nouvelles techniques dans cette variation de l'organisation cybercriminelle DarkSide jamais vues auparavant dans les ransomwares », ose même l'éditeur de sécurité. « Cet échantillon de ransomware a été programmé efficacement avec très peu d'espace gaspillé, et le compilateur réduit au minimum, ce qui est inhabituel pour la plupart des logiciels malveillants. Bien que la taille du fichier soit relativement petite pour les logiciels malveillants (57 856 octets), il peut fournir une charge utile beaucoup plus importante que prévu ». Et Fortinet de poursuivre : « ce variant DarkSide peut ensuite utiliser le port COM pour s'interfacer avec Active Directory lui-même. En cas de succès, le logiciel malveillant tente de supprimer certaines variables, telles que defaultNamingContext et dnsHostName [...] Après avoir perturbé les requêtes Active Directory, le ransomware tente ensuite de crypter les fichiers dans les partages réseau trouvés dans cette section du code ».
Pour les systèmes exécutant Windows 7 et supérieur, le logiciel malveillant recherche les volumes contenant un fichier bootmgr. Le fichier bootmgr peut être trouvé à la racine du lecteur C: \ ou il peut être stocké dans un autre volume. Pour les systèmes antérieurs à Windows 7, DarkSide choisit une approche différente. Il appelle l'API DeviceIoControl à l'aide du code de contrôle IOCTL_DISK_GET_PARTITION_INFO_EX. « Si le style de partition qu'il trouve est un MBR (Master Boot Record), il continuera et vérifiera si cette partition est amorçable, sinon il essaiera de la monter. Cependant, si le style de partition est GPT (GUID Partition Table), DarkSide franchit une autre étape. Si l'un de ces GUID correspond aux résultats de l'appel à l'API DeviceIoControl, il ignore ces partitions et passe à la suivante. Une fois qu'un volume est monté avec succès, il tente alors de crypter les fichiers qu'il contient », explique Fortinet. « D'après ce que nous avons pu déterminer, ces actions sont nouvelles sur la scène des ransomwares. En conséquence, la communauté mondiale de la cybersécurité peut ne pas être correctement protégée contre cette stratégie d'attaque ».
La puissance d'un Etat-Nation en renfort ?
« Le niveau de détail, l'effort, la planification et le temps que le groupe a entrepris, non seulement en créant le ransomware lui-même, mais en prenant le temps de noter quelles données ont été volées, leur quantité et ce qu'elles contenaient, leur mode de gestion et la façon de faire honte aux victimes souligne à quel point il s'agit du travail d'une organisation disposant de ressources et de temps considérables », conclut Fortinet. De là à penser que la puissance d'un Etat-Nation comme la Russie est mobilisée derrière cet opérateur, il n'y a qu'un pas qui ne peut - pourra jamais ? - être cependant franchi tant l'attribution s'avère compliquée à établir.