Le 24 février 2022, Avast Threat Research a publié un tweet annonçant la découverte d’un nouveau rançongiciel Golang, qu’ils ont appelé HermeticRansom. Ce logiciel malveillant a été découvert à peu près au même moment où HermeticWiper a été découvert et, sur la base d’informations publiquement disponibles auprès de la communauté de la sécurité, il a été utilisé lors de récentes cyberattaques en Ukraine. Le nouveau ransomware a probablement été utilisé comme écran de fumée pour l’attaque HermeticWiper en raison de son style non sophistiqué et de sa mauvaise implémentation.

Dans ce rapport, nous présentons notre analyse de HermeticRansom, que nous appelons également Elections GoRansom.

Nos découvertes en quelques mots :

Elections GoRansom (alias HermeticRansom) a été utilisé pour cibler des actifs le même jour qu’HermeticWiper ;
Les développeurs ont utilisé un schéma de dénomination de fonction sarcastique lié aux élections présidentielles américaines ;
Le logiciel malveillant n’utilise aucun type d’obfuscation et possède des fonctionnalités assez simples, ce qui suggère qu’il a été créé en peu de temps.
Analyse technique d’HermeticRansom
Le logiciel malveillant est créé dans Golang et n’utilise aucun composant anti-analyse comme le cryptage de chaîne, la suppression des noms de fonction, etc. Après l’exécution, il crée un ID qui est ensuite utilisé comme clé à partir du tableau de caractères et de chiffres de l’alphabet latin à l’aide d’un Golang standard. fonction rand :

Ensuite, le logiciel malveillant identifie les disques durs présents sur le système infecté et collecte une liste de répertoires et de fichiers, à l’exclusion des dossiers Windows et Program Files.

Après cela, la note de ransomware est créée en tant que fichier « read_me .html » et déposée dans le dossier Desktop de l’utilisateur. La note contient l’identifiant de la victime et les e-mails de contact de l’acteur sur le domaine ProtonMail ; les e-mails sont codés en dur comme indiqué ci-dessous :

Le logiciel malveillant utilise un flux de travail de cryptage étrange et inefficace – il crée des copies de l’échantillon initial et les exécute en tant que processus distincts pour chaque fichier crypté ; les noms de copie sont générés à l’aide des fonctions de la bibliothèque Golang GUID.

Pour chiffrer les données des victimes, HermeticRansom s’appuie sur une liste de types de fichiers codés en dur, comme suit :

Les fichiers sont cryptés à l’aide de l’algorithme AES avec la clé générée. Ensuite, la clé AES est chiffrée avec RSA-OAEP. OAEP est paramétré avec une fonction de hachage utilisée comme oracle aléatoire. La fonction de hachage est SHA-256. La clé publique RSA est codée en dur en tant que blob base64. Après avoir décodé la clé au format JSON, elle est convertie en tableau d’octets :

Une fois les fichiers cryptés, HermeticRansom ajoute une extension « .encrypted » à chacun. De plus, l’adresse e-mail ProtonMail est ajoutée au nom de fichier :

Les structures et les méthodes des logiciels malveillants sont nommées de manière sarcastique en rapport avec les élections présidentielles américaines.

Attribution de HermeticRansom
Compte tenu des circonstances dans lesquelles HermeticRansom est apparu, y compris la date, l’heure et les géolocalisations des victimes, nous sommes modérément convaincus qu’il est lié aux objectifs généraux d’HermeticWiper – détruire ou rendre les systèmes Windows inutilisables en raison de la perte de données.

conclusion
HermeticRansom est un excellent exemple d’attaque ciblée empêchant les victimes d’utiliser leurs données tout en agissant potentiellement comme un écran de fumée pour de nouvelles attaques. La simplicité du code, ainsi que les erreurs de grammaire et d’orthographe laissées dans la note de rançon, indiquent probablement qu’il s’agissait d’une opération de dernière minute, potentiellement déployée pour renforcer l’efficacité d’autres cyberattaques contre l’Ukraine.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *