Le nouveau fonctionnement du ransomware NoEscape serait un changement de marque d’Avaddon, un gang de ransomware qui a fermé et publié ses clés de décryptage en 2021.
Noescape a lancé en juin 2023 lorsqu’il a commencé à cibler l’entreprise lors d’attaques à double expression. Dans le cadre de ces attaques, les acteurs de la menace volent des données et cryptent des fichiers sur les serveurs Windows, Linux et VMware ESXi.
Les acteurs de la menace menacent alors de libérer publiquement des données volées si une rançon n’est pas payée. Breachtrace est conscient des exigences de ransomware de NoEscape allant entre des centaines de milliers de dollars à plus de 10 millions de dollars.
Comme d’autres gangs de ransomwares, NoEscape ne permet pas à ses membres de cibler les pays de la CIS (ex-syndicat), les victimes de ces pays recevant des décrypteurs gratuits et des informations sur la façon dont ils ont été violés.
À l’heure actuelle, le gang de ransomware a énuméré dix entreprises de différents pays et industries sur leur site de fuite de données, illustrant qu’ils ne ciblent pas une verticale particulière.
Un changement de marque Avaddon
L’opération de ransomware d’Avaddon a été lancée en juin 2020 à l’aide de campagnes de phishing pour cibler les victimes d’entreprise.
Cependant, en juin 2021, un mois après que le FBI et l’Australian Law Enforcement ont publié des avis Avaddon, le gang de ransomware a soudainement fermé ses opérations et a partagé les clés de décryptage des victimes avec Breachtrace dans une pointe anonyme.
Depuis lors, il n’y a eu aucune activité de ransomware ou d’extorsion connue associée aux acteurs de la menace que le mois dernier au lancement de l’opération de ransomware Noescape.
Michael Gillespie, créateur de ransomwares d’identification et expert en ransomware, a déclaré à Breachtrace que les encrypteurs de ransomware d’Avaddon et d’Avaddon sont presque identiques, avec un seul changement notable dans les algorithmes de chiffrement.
Auparavant, l’Avaddon Encryptor a utilisé des AES pour le cryptage des fichiers, avec NoEscape passant à l’algorithme SALSA20.
Sinon, les encrypteurs sont pratiquement identiques, avec la logique de chiffrement et les formats de fichiers presque identiques, y compris une manière unique de « secouer les blobs cryptés RSA ».
En outre, Breachtrace a déterminé que les encrypteurs Avaddon et NoEscape utilisent le même fichier de configuration et les mêmes directives que celles décrites dans cet article mandiant et décrits ci-dessous.
S’il est possible que les acteurs de Notescape ont acheté le code source de l’encrypteur d’Avaddon, de nombreux chercheurs ont dit à Breachtrace que certains des principaux membres d’Avaddon faisaient désormais partie de la nouvelle opération de ransomware.
Le NOesCape Encryptor
Un échantillon du Ransomware NoEscape a été partagé avec Breachtrace afin que nous puissions l’analyser.
Lorsqu’il est exécuté, NoEscape exécutera les commandes suivantes pour supprimer les copies de volume d’ombre Windows, les catalogues locaux de sauvegarde Windows et pour désactiver la réparation automatique de Windows.
L’encrypteur commencera ensuite à résilier les processus suivants, y compris ceux associés aux logiciels de sécurité, aux applications de sauvegarde et aux serveurs Web et de base de données.
Il cessera également les services Windows suivants associés aux bases de données, QuickBooks, des logiciels de sécurité et des plates-formes de machines virtuelles.
Le ransomware met fin à ces applications pour déverrouiller les fichiers qui peuvent être ouverts et empêchés d’être cryptés.
Cependant, même si les fichiers sont verrouillés, l’encryptor utilise l’API Windows Restart Manager pour fermer les processus ou arrêter les services Windows qui peuvent garder un fichier ouvert et empêcher le cryptage.
Lors du chiffrement des fichiers, l’encryptor sautera tous les fichiers qui ont les extensions de fichiers suivantes:
Il sautera également des fichiers dans des dossiers dont les noms contiennent les chaînes suivantes:
Pendant le chiffrement, Gillespie a déclaré à Breachtrace qu’il pouvait être configuré pour utiliser trois modes:
- Full – le fichier entier est crypté
- Partial – Seules les premiers x mégaoctets sont cryptés.
- Chunked – utilise un cryptage intermittent pour crypter des morceaux de données.
Cependant, NoEscape inclut une option de configuration qui force l’encryptor à chiffrer entièrement les fichiers avec les extensions de fichiers ACCDB, EDB, MDB, MDF, MDS, NDF et SQL.
Les fichiers sont chiffrés à l’aide de SALSA20, avec la clé de chiffrement cryptée avec une clé privée RSA groupée. Les fichiers chiffrés auront une extension de 10 caractères annexée au nom de fichier, qui est unique pour chaque victime, comme illustré ci-dessous.
L’encryptor configure également une tâche planifiée nommée «SystemUpdate» pour la persistance sur l’appareil et pour lancer le Encryptor lors de la connexion à Windows.
Le ransomware modifiera également le papier peint Windows en une image indiquant les victimes qu’ils peuvent trouver des instructions dans les notes de rançon nommées how_to_recover_files.txt.
Les notes de rançon how_to_recover_files.txt sont situées dans chaque dossier de l’appareil et incluent des informations sur ce qui est arrivé aux fichiers d’une victime et aux liens vers le site de négociation NoeScape Tor.
« Nous ne sommes pas une entreprise politiquement et nous ne sommes pas intéressés par vos affaires privées. Nous sommes une entreprise commerciale, et nous ne sommes intéressés qu’à l’argent », promet la note de rançon Noescape.
Sur Linux, le / etc / Motd est également remplacé par la note de rançon, qui est affichée aux victimes lorsqu’ils se connectent.
Les billets de rançon contiennent un « ID personnel » requis pour se connecter au site de paiement de l’acteur de la menace et accéder à la page de négociation unique de la victime. Cette page comprend le montant de la rançon dans les Bitcoins, une fonction de décryptage de test et un panneau de chat pour négocier avec les acteurs de la menace.
Comme indiqué précédemment, Breachtrace a vu NoEscape Ransom Demandes allant de quelques centaines de milliers de dollars à plus de 10 millions de dollars.
Après avoir payé, les victimes seront affichées une liste des décrypteurs disponibles, qui sont ceux de Windows XP, des versions modernes de Windows et Linux.
Pour les victimes d’entreprise exécutant VMware ESXi, NoEscape fournit un script shell qui peut être utilisé pour restaurer les fichiers / etc / Motd et Decrypt à l’aide du Decryptor Linux.
Site de fuite de données utilisé pour extorquer les victimes
Comme d’autres opérations de ransomwares, NoEscape va violer un réseau d’entreprise et se propager latéralement à d’autres appareils. Une fois que les acteurs de la menace ont obtenu des informations d’administration de domaine Windows, ils déploieront le ransomware tout au long du réseau.
Cependant, avant de chiffrer les fichiers, les acteurs de la menace ont déjà volé des données d’entreprise à utiliser comme effet de levier dans leurs tentatives d’extorsion. Les acteurs de la menace avertissent ensuite les victimes que leurs données seront publiées publiquement ou vendues à d’autres acteurs de menace si une rançon n’est pas payée.
Au moment d’écrire ces lignes, NoEscape avait divulgué les données ou commencé à extorquer dix victimes sur leur site de fuite de données, avec la taille de données divulguées allant de 3,7 Go pour une entreprise à 111 Go pour une autre.
Le ransomware est actuellement en cours d’analyse pour les faiblesses, et Breachtrace ne conseille pas de payer une rançon jusqu’à ce qu’il soit déterminé si un décrypteur gratuit peut récupérer gratuitement des fichiers.