Actualités

LokiLocker : un nouveau Ransomware-as-a-Service qui brouille les pistes ! (iraniennes…)

Les équipes BlackBerry Research IT viennent de mettre en lumière un nouveau type de ransomware : découvert, au moins, depuis mi-Août 2021 et partageant “certaines similitudes” avec LockBit (mais en rien avec Locky ou encore LokiBot), il ciblerait les terminaux Windows (PCs) en instillant une viralité assez avancée. Selon les premiers éléments d’investigation, les cyber-attaquants seraient issus d’AccountCrack, en Iran ce qui peut suggérer la provenance de ce nouveau ransomware… ou une manière détournée de pointer vers ladite provenance.

 

 

“LokiLocker entre dans la vie de la victime sans y être invité et commence à chercher des biens à dérober. La menace crypte ensuite leurs fichiers et leur demande de payer une rançon monétaire pour restaurer l’accès. Le malware est écrit en .NET et protégé avec NETGuard (ConfuserEX modifié) à l’aide d’un plugin de virtualisation supplémentaire appelé KoiVM […] LokiLocker crypte les fichiers de la victime sur les disques locaux et les partages réseau avec une combinaison standard d’AES pour le cryptage des fichiers et de RSA pour la protection des clés. Il demande ensuite à la victime d’envoyer un e-mail aux attaquants pour obtenir des instructions sur la façon de payer la rançon. LokiLocker dispose également d’une fonctionnalité d’effacement en option – si la victime ne paie pas dans le délai spécifié par l’attaquant, tous les fichiers non système seront supprimés et le MBR écrasé, effaçant tous les fichiers de la victime et rendant le système inutilisable. D’un seul coup, tout le monde y perd“, est-il relaté dans le PoC des chercheurs.

 

 

KoiVM, fonctions de virtualisation.

 

LokiLocker intègre un journal de logs et effectue une duplication de la viralité, une fois exécutée, dans winlogon.exe depuis le ProgramData tout en répartissant certains de ses composants (dont mutex et de manière caché, bien sûr) dans le système ainsi infecté. Des clés-registre sont créées puis modifiées ce qui impacte, là aussi le système, notamment en désactivant certaines fonctionnalités-Windows (récupération-erreur, pare-feu, Windows Defender) voire en supprimant des points de restauration-système, en passant par la purge du Recycle.bin… Un coup de poussière qui va même jusqu’à modifier (toujours en registre) les informations OEMs (!) via une clé dédiée.

 

Côté communication-réseau, le RaaS passe par un command-and-server via une requête (POST – index.php) qui va déclencher une URL – 91[.]223[.]82[.]6. – chiffrée (en dur, y compris pour les champs user et chat-id) et qui rapatriera diverses informations ex-filtrées du système de la victime, telles que le numéro de série ID, la taille du lecteur principal, le pseudo ou nom-profil, le type de CPU, la RAM, le type de système d’exploitation ou encore le Chat-ID. Le retour-réponse (tampon : 0x100000, 1048576 octets) du serveur générait une clé publique (JSON object). “Il existe cinq clés publiques RSA différentes stockées dans le binaire du logiciel malveillant, bien que les attaquants puissent également fournir une autre clé publique via le C2. Étant donné que le serveur C2 est le même pour tous les affiliés, cela suggère que les propriétaires de RaaS se sont laissé la possibilité d’envoyer leur propre clé publique pour sécuriser la clé privée de la victime, ce qui signifie qu’ils seraient en mesure de déchiffrer les fichiers de toutes les victimes de leurs affiliés“.

 

Les mises à jour du bot (statuts) se font par un point de terminaison via API dédiée (tg.php), afin que les cyber-attaquants puissent, à distance, visualiser l’avancement du chiffrement, avec diverses informations dont le temps restant et l’identifiant de chat. Une analyse-réseau peut être, également, opérée sur les médias et différents dossiers du système (y compris les favoris, le Bureau) pour optimiser le chiffrement en procédant, d’abord, à des dossiers précieux pour l’utilisateur ou régulièrement consultés. Le chiffrement se fait en AES-256 (GCM) via une clé randomisée pour ensuite être chiffrée via la clé RSA attribuée (publiquement) avec le système de la victime. Dans le cas d’une rançon non-payée, le logiciel peut être programmé pour effacer l’ensemble des données-système (tout lecteur confondu) hormis les fichiers-système avec, en bouquet final, l’écrasement du MBR (Master Boot Record) du lecteur-système “pour rendre le système inutilisable“, avec un message, du cru des cyber-attaquants, qui s’affichera, alors : “après avoir écrasé le MBR, LokiLocker tentera de planter le système en forçant un écran bleu de la mort (BSOD)“… A veiller !

 

 

 

Source : blog BlackBerry Recherche IT – 16 Mars 2022 – LokiLocker : nouveau RaaS.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.11.6