Actualités

Sugar : le ransomware RaaS adaptatif aux effluves de Cl0p et de REvil !

Les chercheurs de l’équipe (sécuritaire) Walmart viennent de mettre en lumière un nouveau ransomware : de type Ransomware-as-a-Service et intégrant des similitudes partielles avec d’autres ransomwares tels que Cl0p et REvil, il ciblerait essentiellement les terminaux isolés plutôt que les parcs informatiques (professionnels, entreprises), selon l’échantillon analysé.

 

 

“Le malware est écrit en Delphi mais la partie intéressante […] était la réutilisation de la même routine du crypteur dans le cadre du décodage de chaîne dans le malware, cela nous amènerait à croire qu’ils ont le même dev et le crypteur est probablement partie du processus de construction ou d’un service que l’acteur principal offre à ses affiliés […) La note sur le rançongiciel présente des similitudes frappantes avec Revil, mais également des différences et des fautes d’orthographe […] Une autre similitude que nous pouvons trouver mais avec une autre famille de rançongiciels est Cl0p […] La pièce de cryptage de fichier pour les échantillons que nous avons analysés semble utiliser l’algorithme de cryptage SCOP“, selon le billet technique sommaire, publié depuis le 1er Février 2022.

 

L’outil de chiffrement de Sugar reposerait sur une version modifiée du RC4. Les chercheurs ont pu, sur ce point-ci également, observer une méthodologie ou un schéma de chiffrement : “l’algorithme parcourt la SBOX pendant KSA de l’arrière vers l’avant, il exploite également une simple boucle OU au niveau du bit pour créer une valeur qui est utilisée pour ET au niveau du bit par rapport à la valeur de travail de la clé, si la valeur est supérieure ou égale au courant Itération SBOX puis il continuera jusqu’à la valeur suivante dans la clé. Ensuite, il commence une version personnalisée de PRGA qui implique un mélange supplémentaire basé sur quatre valeurs de la SBOX post-KSA“.

 

Du côté de la victime, le chiffrement des données, une fois Sugar implanté, donne lieu à la traditionnelle fenêtre informative du genre avec le message texte sans ambiguïté, quand aux intentions des cyber-attaquants dont voici un extrait partiel : “c’est juste le business. Mis à part le fait de tirer un bénéfice, nous ne nous soucions absolument pas de vous et de vos affaires. Si nous ne faisons pas notre travail et responsabilités – personne ne coopérera avec nous. Ce n’est pas dans notre intérêt. Pour vérifier la capacité de retour des fichiers, vous devez vous rendre sur notre site Web. Là, vous pouvez décrypter 1 à 5 fichiers gratuitement. Ceci est notre garantie. Si vous ne coopérez pas avec notre service – pour nous, cela n’a pas d’importance. Mais vous perdrez votre temps et vos données, car nous disposons simplement de la clé privée. En pratique, le temps est beaucoup plus précieux que l’argent“… A veiller !

 

 

 

Source : Medium – 1er Février 2022 – Sugar : avènement d’un nouveau ransomware (analyse brève).




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.11.6