Crédit : Dreamstime
Un tout nouveau stress de ransomware a fait des victimes pour le deux mois précédents, se faisant passer pour une application de mise à jour d’applications logicielles Google et réutilisant une bibliothèque de gestion de mots de passe open source pour le cryptage.
Surnommé HavanaCrypt par des scientifiques de Cybereason, le tout nouveau programme de rançongiciel fonctionne contre l’analyse et l’exfiltration de données et les systèmes d’escalade des avantages, mais ne semble pas laisser tomber une note de rançon conventionnelle.
Mise en œuvre de HavanaCrypt
Les scientifiques n’ont pas beaucoup de détails sur le vecteur d’accès initial car l’échantillon qu’ils ont évalué a été obtenu auprès de VirusTotal, un service d’analyse de fichiers basé sur le Web, où il était très probable téléchargé par une victime.
Ce qui est clair, c’est que les métadonnées de l’exécutable malveillant ont été modifiées pour répertorier l’éditeur en tant que Google et le nom de l’application en tant que Google Software Update et lors de l’exécution, il produit une entrée d’exécution automatique du registre du système informatique appelée GoogleUpdate. Sur la base de ces informations, on pourrait supposer que le leurre utilisé pour distribuer le ransomware, soit par e-mail, soit sur le Web, est centré sur une fausse mise à niveau d’application logicielle.
HavanaCrypt est écrit dans les émissions .NET et utilise un obfuscateur de code binaire open source appelé Obfuscar pour dissimuler les noms de fonctions et d’autres détails, ce qui rend la rétro-ingénierie plus difficile. De plus, les auteurs ont également utilisé leurs propres fonctions de code pour masquer les chaînes dans le binaire.
Le logiciel malveillant vérifie également si des procédures généralement associées aux applications de création virtuelle sont présentes sur le système et, le cas échéant, il inspecte les adresses MAC de la carte réseau pour voir si elles correspondent à des adaptateurs virtuels connus.
Ces contrôles sont suggérés pour bloquer l’analyse qui implique fréquemment l’exécution de binaires suspects à l’intérieur des machines virtuelles (VM). Le programme comprend également un mécanisme qui tente d’éviter l’analyse au moyen de débogueurs.
Il est clair que les créateurs de HavanaCrypt ont déployé beaucoup d’efforts pour rendre plus difficile l’analyse fixe et automatisée. Si l’une de ces vérifications échoue, le programme arrête son exécution. Si les vérifications réussissent, le ransomware téléchargera un fichier.txt à partir d’une adresse IP liée aux services d’hébergement Web de Microsoft qui est en fait un script pour ajouter des répertoires spécifiques à la liste d’exclusion d’analyse de Windows Protector.
Il tente ensuite d’éliminer une longue liste de procédures susceptibles de s’exécuter sur le système. Ces procédures sont liées à des applications populaires telles que Microsoft Word, des clients de messagerie, des serveurs de base de données, des machines virtuelles et des représentants de la synchronisation des informations.
L’objectif est d’effacer les verrous du système de fichiers définis par ces programmes afin que leurs fichiers puissent être sécurisés. Le ransomware supprime également tous les points de restauration et les clichés instantanés de volume pour éviter la simple restauration des fichiers.
HavanaCrypt se copie dans les dossiers Start-up et ProgramData en utilisant un nom de 10 caractères produit arbitrairement. Le fichier est alors défini comme « Fichier système » et « Caché » pour éviter une découverte facile car, par défaut, Windows n’affichera pas ces fichiers dans son explorateur de fichiers.
Chiffrement de fichier HavanaCrypt
Le ransomware rassemble ensuite des informations sur la machine infectée qui sont ensuite envoyées à un serveur de commande et de contrôle (C2), qui lui attribue un jeton d’identification distinct et génère les secrets spéciaux utilisés pour le chiffrement.
La norme de cryptage des fichiers elle-même est obtenue en utilisant une bibliothèque associée au gestionnaire de mots de passe open-source KeePass. L’utilisation d’une bibliothèque bien testée au lieu d’implémenter leur propre cryptage régulier permet aux créateurs de HavanaCrypt d’éviter de commettre des erreurs importantes qui pourraient ultérieurement conduire les chercheurs à développer un décrypteur totalement gratuit.
Le malware se répétera dans tous les fichiers, répertoires , lecteurs et disques découverts sur le système et ajoutez l’extension .Havana à tous les fichiers chiffrés. Cependant, il existe une liste d’exemptions de dossiers et d’extensions de fichiers pour garder le système pratique.
Remarquablement, bien que le rançongiciel ne semble pas déposer une note de rançon standard, le dossier du navigateur Internet Tor est présent dans le fichier liste d’exclusion de chiffrement, ce qui suggère que les agresseurs veulent utiliser Tor pour l’exfiltration d’informations ou les interactions C2.
Toute l’actualité en temps réel, est sur L’Entrepreneur
