Une opération de rançongiciel cible les joueurs russes du jeu de tir à la première personne multijoueur Enlisted, en utilisant un faux site Web pour diffuser des versions trojanisées du jeu.
Enlisted est un jeu légitime publié par Gaijin Entertainment en 2021, comptant entre 500 000 et un million de joueurs actifs par mois.
Le jeu est gratuit, de sorte que les pirates pourraient facilement télécharger le programme d’installation de l’éditeur et le modifier pour distribuer des charges utiles malveillantes aux utilisateurs peu méfiants.
Le rançongiciel fourni avec le programme d’installation du jeu prétend être la troisième version majeure du célèbre WannaCry, même en utilisant l’extension de fichier « .wncry » sur les fichiers cryptés.
Engagé dans un rançongiciel
Selon les chercheurs de Cyble qui ont analysé la souche, cette nouvelle variante « WannaCry » est basée sur le casier Python open-source « Crypter », bien sûr, conçu à des fins éducatives.
Il convient de noter que ce n’est pas la première fois que quelqu’un tente d’imiter WannaCry, probablement pour intimider les victimes et obtenir le paiement rapide d’une rançon.
Le programme d’installation téléchargé à partir du faux site Web est « enlisted_beta-v1.0.3.115.exe », qui dépose deux fichiers exécutables sur le disque de l’utilisateur s’il est lancé, à savoir « ENLIST~1 » (le jeu réel) et « enlisted » (le Python lanceur de rançongiciel).
Le ransomware crée un mutex lors de l’initialisation pour éviter plusieurs instances en cours d’exécution sur l’ordinateur infecté.
Ensuite, il analyse son fichier de configuration JSON, qui détermine quels types de fichiers sont ciblés, quels répertoires doivent être ignorés, quelle note de rançon générer, quelle adresse de portefeuille doit recevoir la rançon et d’autres paramètres d’attaque.
Ensuite, le rançongiciel Crypter analyse le répertoire de travail à la recherche d’un fichier « key.txt » à utiliser dans l’étape de chiffrement, et s’il n’y en a pas, il le génère.
Le cryptage utilise l’algorithme AES-256 et tous les fichiers verrouillés reçoivent l’extension de nom de fichier « .wncry ».
Fait intéressant, le ransomware ne tente pas de mettre fin aux processus ou d’arrêter les services, ce qui est une pratique courante dans les casiers modernes.
Cependant, il suit la stratégie courante de suppression des clichés instantanés de Windows pour empêcher une restauration facile des données.
Une fois le processus de cryptage terminé, le ransomware affiche la note de rançon sur une application graphique dédiée, donnant à la victime trois jours pour répondre aux demandes.
Les acteurs de la menace modifient également l’image d’arrière-plan de la victime pour s’assurer que son message passe même si l’antivirus de la victime bloque le lancement de la note de rançon basée sur l’interface graphique.
Les attaquants n’utilisent pas un site Tor ou ne fournissent pas de lien de discussion sécurisé aux victimes, mais utilisent plutôt un bot Telegram pour les communications.
Les interdictions nationales sur les titres FPS populaires en Russie ont forcé les joueurs locaux à chercher ailleurs pour se divertir, et Enlisted est l’une des alternatives explorées.
Il semble que les acteurs de la menace aient sauté sur cette opportunité, et il n’est pas improbable qu’ils créent d’autres faux sites pour des jeux similaires avec une localisation russe.