Depuis près d’un mois, des systèmes informatiques clés au service du gouvernement de Baltimore, dans le Maryland, ont été pris en otage par une souche de ransomware connue sous le nom de « Robbinhood.” Des publications médiatiques ont cité des sources disant que la version de Robbinhood qui a frappé les ordinateurs de la ville de Baltimore était alimentée par «Bleu éternel», un outil de piratage développé par le Agence de sécurité nationale des États-Unis (NSA) et divulgué en ligne en 2017. Mais une nouvelle analyse suggère que si Eternal Blue aurait pu être utilisé pour propager l’infection, le malware Robbinhood lui-même n’en contient aucune trace.
Le 25 mai, Le New York Times cité des experts en sécurité anonymes informés de l’attaque qui ont imputé la propagation du ransomware à l’exploit Eternal Blue, qui était lié au monde Épidémie de ransomware WannaCry en mai 2017.
Cette histoire a incité un démenti de la NSA que Eternal Blue a été utilisé d’une manière ou d’une autre dans l’attaque de Baltimore. Il a également déplacé le président du conseil municipal de Baltimore Brandon Scott écrire au gouverneur du Maryland demander l’aide fédérale en cas de catastrophe et le remboursement en conséquence.
Mais selon Joe Stewartun analyste de logiciels malveillants chevronné qui consulte désormais une société de sécurité Armure, le logiciel malveillant utilisé dans l’attaque de Baltimore ne contient aucun code d’exploitation Eternal Blue. Stewart a déclaré avoir obtenu un échantillon du logiciel malveillant dont il a pu confirmer qu’il était lié à l’incident de Baltimore.
« Nous y avons jeté un coup d’œil et avons trouvé un joli binaire ransomware vanillé », a déclaré Stewart. « Il n’a même aucun moyen de se propager sur les réseaux par lui-même. »
Stewart a déclaré que même s’il est encore possible que l’exploit Eternal Blue ait été utilisé d’une manière ou d’une autre pour propager le rançongiciel Robbinhood, ce n’est pas très probable. Stewart a déclaré que dans une brèche typique qui conduit à une épidémie de ransomware, les intrus tenteront de tirer parti d’une seule infection et de l’utiliser comme point de départ pour compromettre les systèmes critiques sur le réseau piraté qui permettraient au malware d’être installé sur un grand nombre de systèmes simultanément.
« Ce ne serait certainement pas l’exploit incontournable si votre objectif était d’identifier les systèmes critiques et ensuite seulement lorsque vous êtes prêt à lancer l’attaque afin que vous puissiez tout faire en même temps », a déclaré Stewart. « À ce stade, Eternal Blue va probablement être détecté par des [security] systèmes, ou la cible pourrait déjà être corrigée pour cela.
On ne sait pas qui est derrière l’attaque du ransomware de Baltimore, mais Armor a déclaré qu’il était convaincu que le ou les mauvais acteurs dans ce cas étaient les mêmes personnes utilisant le compte Twitter maintenant suspendu @Robihkjn (Robbinhood). Jusqu’à ce qu’il soit suspendu vers 15 h 00 HE aujourd’hui (3 juin), le compte @Robihkjn narguait le maire de Baltimore et les membres du conseil municipal, qui ont refusé de payer la demande de rançon de 13 bitcoin — environ 100 000 $.
Dans plusieurs de ces tweets, le compte Twitter pouvait être vu en train de publier des liens vers des documents qui auraient été volés dans les systèmes gouvernementaux de la ville de Baltimore, apparemment pour prouver à la fois que ceux qui sont derrière le compte Twitter étaient responsables de l’attaque, et peut-être pour suggérer ce qui pourrait arriver à plus de ces documents si la ville refuse de payer avant le délai de paiement fixé par les extorqueurs – actuellement le 7 juin 2019 (les attaquants ont déjà reporté ce délai une fois).
Certains des tweets de @robihkjn narguant les dirigeants de la ville de Baltimore pour le non-paiement de la demande de ransomware de 100 000 $. Les tweets comprenaient des liens vers des images de documents prétendument volés par les intrus.
Au cours des derniers jours, cependant, les tweets de @Robinhkjn sont devenus plus fréquents et blasphématoires, dirigés contre les dirigeants de Baltimore. Le compte a également commencé à taguer des dizaines de journalistes et d’agences de presse sur Twitter.
Stewart a déclaré que le compte Twitter @Robinhkjn pourrait faire partie d’une campagne en cours menée par les attaquants pour promouvoir leur propre offre de ransomware en tant que service Robbinhood. Selon l’analyse d’Armor, Robbinhood est livré avec plusieurs modèles HTML qui peuvent être utilisés pour remplacer différentes variables de la demande de rançon, telles que le montant de la rançon et l’adresse .onion que les victimes peuvent utiliser pour négocier avec les extorqueurs ou payer une demande de rançon.
« Nous sommes arrivés à la conclusion que Robbinhood a été conçu pour être une offre de ransomware en tant que service multi-locataires », a déclaré Stewart. « Et nous nous demandons si tout cela n’est peut-être qu’un effort pour accroître la notoriété du malware afin que les auteurs puissent ensuite aller sur le Dark Web et en faire la publicité. »
Ce message expurgé est présent sur le panneau Dark Web mis en place par les extorqueurs pour accepter le paiement de l’incident du ransomware de Baltimore et pour répondre aux demandes ou demandes de leur part. Le message répète le dernier tweet du compte Twitter @robihkjn et lie définitivement ce compte aux attaquants. Image : Armure.
Il y avait un autre indice potentiel – quoique probablement intentionnel – que Stewart a dit avoir trouvé dans son analyse du logiciel malveillant : son code comprenait la chaîne de texte « Valery ». Bien que ce détail en soi ne soit pas particulièrement intéressant, Stewart a déclaré qu’une version antérieure du GandCrab souche ransomware placerait une photo d’un homme russe nommé Valery Sinyaev dans chaque dossier existant où il crypterait les fichiers. PCRisk.coml’entreprise qui blogué sur cette connexion à la variante GandCrabaffirme M. Sinyaev est un professionnel de la finance respectable qui n’a rien à voir avec GandCrab.
Le moment de la connexion GandCrab est remarquable car la semaine dernière, les créateurs de GandCrab ont annoncé qu’ils fermaient leur produit ransomware-as-a-serviceprétendument après avoir gagné plus de 2 milliards de dollars en paiements de rançon.
Enfin, puisque nous parlons d’attaques majeures de rançongiciels et d’exploits effrayants, c’est le bon moment pour rappeler aux lecteurs l’importance d’appliquer les dernières mises à jour de sécurité de Microsoft, qui a pris le mois dernier la décision inhabituelle de publier des mises à jour de sécurité non prises en charge mais encore très utilisé les fenêtres des systèmes d’exploitation comme XP et Fenêtres 2003. Microsoft l’a fait pour éviter une autre épidémie de type WannaCry due à l’exploitation massive d’une faille récemment découverte que Redmond a qualifiée de « versable ».
Cette vulnérabilité existe dans Windows XP, Windows 2003, Windows 7, Windows Server 2008 R2 et Windows Server 2008. Dans un rappel sur l’urgence de corriger ce bogue, Microsoft le 30 mai a publié un message disant que bien qu’il n’ait pas encore vu d’exploitation généralisée de la faille, il a fallu environ deux mois après que Microsoft a publié un correctif pour l’exploit Eternal Blue en mars 2017 pour que WannaCry fasse surface.
« Près de deux mois se sont écoulés entre la publication des correctifs pour la vulnérabilité EternalBlue et le début des attaques de ransomware », a averti Microsoft. « Bien qu’ils disposaient de près de 60 jours pour corriger leurs systèmes, de nombreux clients ne l’avaient pas fait. Un nombre important de ces clients ont été infectés par le rançongiciel. »