Une opération de ransomware relativement récente nommée Interlock attaque des organisations du monde entier, adoptant l’approche inhabituelle de créer un chiffreur pour cibler les serveurs FreeBSD.
Lancé fin septembre 2024, Interlock a depuis revendiqué des attaques contre six organisations, publiant des données volées sur leur site de fuite de données après qu’une rançon n’a pas été payée. L’une des victimes est le comté de Wayne, Michigan, qui a subi une cyberattaque début octobre.
On sait peu de choses sur l’opération de ransomware, certaines des premières informations provenant du répondeur aux incidents Simo début octobre, qui a découvert une nouvelle porte dérobée [VirusTotal] déployée dans un incident de ransomware Interlock.
Peu de temps après, le chercheur en cybersécurité MalwareHuntTeam a découvert ce que l’on croyait être un crypteur Linux ELF [VirusTotal] pour l’opération de verrouillage. Partageant l’échantillon avec Breachtrace , nous avons tenté de le tester sur une machine virtuelle, où il s’est immédiatement écrasé.
L’examen des chaînes dans l’exécutable a indiqué qu’il a été compilé spécifiquement pour FreeBSD, avec la commande Linux « File » confirmant en outre qu’il a été compilé sur FreeBSD 10.4.
interlock.elf: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, BuildID[sha1]=c7f876806bf4d3ccafbf2252e77c2a7546c301e6, for FreeBSD 10.4, FreeBSD-style, not strippedCependant, même lors du test de l’échantillon sur une machine virtuelle FreeBSD, Breachtrace n’a pas réussi à exécuter correctement l’échantillon.
Bien qu’il soit courant de voir des chiffrements Linux créés pour cibler les serveurs VMware ESXi et les machines virtuelles, il est rare de voir ceux créés pour FreeBSD. La seule autre opération de ransomware connue pour avoir créé des chiffreurs FreeBSD est l’opération de ransomware Hive, aujourd’hui disparue, qui a été interrompue par le FBI en 2023.
Cette semaine, des chercheurs de la société de cybersécurité Trend Micro ont partagé sur X qu’ils avaient trouvé un échantillon supplémentaire du chiffreur FreeBSD ELF [VirusTotal] et un échantillon du chiffreur Windows de l’opération [VirusTotal].
Trend Micro a ajouté que les auteurs de la menace ont probablement créé un chiffreur FreeBSD car le système d’exploitation est couramment utilisé dans les infrastructures critiques, où les attaques peuvent provoquer des perturbations généralisées.
« Interlock cible FreeBSD car il est largement utilisé dans les serveurs et les infrastructures critiques. Les attaquants peuvent perturber des services vitaux, exiger de lourdes rançons et contraindre les victimes à payer », explique Trend Micro.
Il va sans dire que l’opération de ransomware Interlock n’est pas liée au jeton de crypto-monnaie du même nom.
Le ransomware de Verrouillage
Alors que Breachtrace ne pouvait pas faire fonctionner le chiffreur FreeBSD, la version Windows fonctionnait sans problème sur notre machine virtuelle.
Selon Trend Micro, le chiffreur Windows effacera les journaux d’événements Windows et, si l’auto-suppression est activée, utilisera une DLL pour supprimer le binaire principal à l’aide de rundll32.exé.
Lors du cryptage des fichiers, le ransomware ajoutera le .verrouillez l’extension sur tous les noms de fichiers cryptés et créez une demande de rançon dans chaque dossier.
Cette demande de rançon est nommée !_ LIS-MOI_!.txt et décrit brièvement ce qui est arrivé aux fichiers de la victime, fait des menaces et des liens vers les sites de négociation Tor et de fuite de données.
Chaque victime a un « identifiant d’entreprise » unique qui est utilisé avec une adresse e-mail pour s’inscrire sur le site de négociation de l’auteur de la menace. Comme de nombreuses autres opérations récentes de ransomware, le site de négociation face à la victime comprend simplement un système de discussion qui peut être utilisé pour communiquer avec les acteurs de la menace.
Lors de la conduite d’attaques, Interlock violera un réseau d’entreprise et volera des données sur les serveurs tout en se propageant latéralement à d’autres appareils. Une fois terminé, les auteurs de la menace déploient le ransomware pour chiffrer tous les fichiers sur le réseau.
Les données volées sont utilisées dans le cadre d’une double attaque d’extorsion, où les auteurs de la menace menacent de les divulguer publiquement si une rançon n’est pas payée.
Breachtrace a appris que l’opération de ransomware exige des rançons allant de centaines de milliers de dollars à des millions, selon la taille de l’organisation.