Entre les cyberpirates et les responsables sécurité, c'est un éternel jeu du chat et de la souris. Mais parfois, la souris peut se montrer particulièrement difficile à neutraliser. C'est le cas du ransomware Thanos, découvert en janvier 2020 par Inskit Group qui a publié un rapport permettant de mieux comprendre son fonctionnement. C'est le groupe de cyberpirates opérant sous le patronyme Nosophoros qui se trouve être derrière Thanos, et qui propose à la vente sur le dark web une version personnalisable en 43 configurations possibles de ce malware pour s'adapter au plus près des besoins des cyberescrocs. Le mode de distribution, de type ransomware as-a-service couplé à des mises à jour et des nouvelles fonctions, montre à quel point l'opérateur derrière Thanos professionnalise son activité.
« Le client Thanos est simple dans sa structure et ses fonctionnalités générales. Il est écrit en C # et est facile à comprendre malgré son obfuscation [consistant à rendre un exécutable ou un code source illisible et difficile à comprendre par un être humain ou un décompilateur, NDLR], et bien qu'il intègre des fonctionnalités plus avancées telles que la technique RIPlace », explique Inskit Group. Ce logiciel malveillant intègre 12 à 17 classes, dont un tronc commun Program et Crypto, puis d'autres comme NetworkSpreading, Wake on LAN, en fonction des « options » retenues par les acheteurs de ce ransomware. La technique de RIPlace embarquée dans Thanos consiste à accroître la capacité de ce malware à contourner les défenses mises en place par les équipes sécurité des entreprises (anti-virus, pare-feux...) pour le désactiver. « Avec les meilleures pratiques de sécurité telles que l'interdiction des connexions FTP externes et la mise sur liste noire des outils de sécurité offensifs connus, les risques associés aux deux composants-clés de Thanos - Data Stealer et Lateral Movement (via l'outil SharpExec) - peuvent être évités », assure Inskit Group.
Kaspersky et Carbon Black au taquet pour corriger la vulnérabilité RIPlace
« Le client Thanos utilise AES-256 en mode CBC pour chiffrer les fichiers utilisateur. La clé utilisée pour le chiffrement AES est dérivée d'un mot de passe et d'un sel qui se fait à travers l'appel de fonction Windows rfc2898DeriveBytes. Une fois que le client Thanos s'est servi de cette clé pour chiffrer tous les fichiers qu'il découvre, il recourt à une clé publique RSA 2048 intégrée pour crypter le mot de passe AES utilisé. La chaîne base64 de ce mot de passe chiffré est ajoutée à la note de rançon, demandant à la victime d'envoyer la chaîne de mot de passe chiffrée aux acteurs de la menace pour déchiffrer leurs fichiers. La clé privée associée à la clé publique utilisée pour chiffrer le mot de passe est nécessaire pour déchiffrer le mot de passe AES. Seul l'opérateur qui a créé le client Thanos doit avoir accès à la clé privée », indique en outre Inskit Group.
La technique RIPlace utilisée par Thanos a d'abord fait l'objet d'un POC par Nyotron en novembre 2019. Ce dernier a prévenu les fournisseurs de solutions de sécurité dont Microsoft. Mais à l'époque, cette technique n'a pas été considérée comme une vulnérabilité par la plupart d'entre eux, exception faite de Kaspersky et de Carbon Black (racheté par VMware) qui ont modifié en conséquence leurs logiciels. Début 2020, Inskit Group a pu observer sur le dark web et sur des forums de cyberpirates que la technique RIPlace commençait à être mise en oeuvre.
Une chance de recouvrir ses données sans payer
Tout n'est cependant pas perdu pour autant : « Si une clé dynamique est choisie, avant de commencer le processus de chiffrement, le client Thanos utilise le Windows RNGCryptoServiceProvider pour générer une chaîne de base64 aléatoire de 32 octets qui sera utilisée comme mot de passe AES. Si le client Thanos est configuré pour utiliser un mot de passe statique, celui-ci est stocké dans le binaire lui-même. Cela signifie que si un client Thanos est récupéré après le chiffrement, il existe quand même une chance pour les victimes de Thanos de recouvrer leurs fichiers sans payer de rançon », indique Inskit Group. Toutefois, d'après les dernières analyses du cabinet, Nosophoros a reçu des signaux positifs de la communauté de pirates, faisant savoir que l'outil « fonctionne parfaitement » et enjoint le cybergang à « maintenir les mises à jour à venir ». Pour Nosoporos, c'est business as usual.