Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Proofpoint : Les pirates à l’origine de la propagation de Dridex se lancent dans les ransomwares avec « Locky »

février 2016 par Proofpoint

Les chercheurs de Proofpoint ont mis au jour un nouveau ransomware, dénommé « Locky », distribué via des documents Word comportant des macros malveillantes. Bien que de nombreux logiciels similaires aient fait leur apparition depuis la fin de l’année 2015, Locky se démarque car sa propagation est due aux hackers étant à l’origine de nombreuses campagnes induisant Dridex et identifiées au cours de cette même année.

Envoi de spams

Comme cela fut le cas lors de la plupart des campagnes caractérisées par des logiciels malveillants, Locky est diffusé via des pièces jointes douteuses. Des messages provenant d’expéditeurs aléatoires, et avec pour objet « ATTN : facture J-12345678 », incluent en effet le document « invoice_J-12345678.doc ». Les pièces jointes constituent des fichiers Word comportant des macros qui permettent le téléchargement et l’installation du ransomware Locky, découvert par les chercheurs de Proofpoint le 16 février 2016.

Le botnet (un ensemble de machines infectées permettant l’envoi de spams) concerné ici est identique à celui qui permet la diffusion de la plupart des messages incluant le cheval de Troie bancaire Dridex. Auparavant, ce botnet était associé aux identifiants 120, 122, 123, 220, 223, 301 (entre autres), ainsi qu’à certains logiciels malveillants n’induisant pas Dridex, comme Ursnif (5 janvier 2016), Nymaim (15 décembre 2015), TeslaCrypt (14 décembre 2015) et Shifu (7 octobre 2015).

Figure 1 : Courrier électronique malveillant induisant Locky

Les pirates se trouvant aux commandes s’inspirent clairement des méthodes employés pour diffuser Dridex. En effet, l’envergure des campagnes n’avait de cesse d’accroître avec Dridex, mais elle est encore plus conséquente avec Locky. De plus, alors que nous avions identifié une telle campagne induisant Dridex, nous avons, le jour même, remarqué la propagation de Locky via un kit d’exploitation Neutrino dédié à la diffusion de logiciels malveillants de type Necur. Lorsqu’ils sont exécutés sur la même machine virtuelle, le document transmis via Neutrino et le courrier électronique diffusé dans le cadre de l’envoi en masse sont associés au même identifiant individuel, redirigent vers le même portefeuille de bitcoins et semblent se rapporter à une infrastructure identique. L’explication ? Les mêmes hackers sont aux commandes ou, probablement, le tout est transmis de manière conjointe.

Figure 2 : Diffusion de Locky via le kit d’exploitation Neutrino

Si les utilisateurs ouvrent la pièce jointe, il est nécessaire que ceux-ci activent les macros pour que l’infection se produise.

Figure 3 : Pièce jointe avec activation possible des macros

Ransomware Locky

Le ransomware permet de chiffrer les fichiers en fonction de leur extension, et le message malveillant concerné s’affiche dans le bloc-notes (Figure 5). En outre, ce même message s’affiche en arrière-plan, à la place du bureau (Figure 4). Si l’utilisateur clique sur les liens .onion (ou tor2web) mentionnés, il est invité à acheter des bitcoins, à les transmettre à une adresse spécifique, puis à actualiser la page, ce qui entraîne le téléchargement du programme déchiffreur. Nous ne savons pas, à l’heure actuelle, si ce dernier s’initialise également si l’utilisateur paie.

Figure 4 : Arrière-plan du bureau après l’installation de Locky

Figure 5 : Message affiché dans le bloc-notes

Figure 6 : Site Web permettant le téléchargement du programme déchiffreur

Locky permet de chiffrer la plupart des fichiers présents sur les disques locaux de l’utilisateur. Certains rapports indiquent même que c’est également le cas des fichiers se trouvant sur des disques partagés. Les formats de fichier suivants sont concernés : .m4u | .m3u | .mid | .wma | .flv | .3g2 | .mkv | .3gp | .mp4 | .mov | .avi | .asf | .mpeg | .vob | .mpg | .wmv | .fla | .swf | .wav | .mp3 | .qcow2 | .vdi | .vmdk | .vmx | .gpg | .aes | .ARC | .PAQ | .tar.bz2 | .tbk | .bak | .tar | .tgz | .gz | .7z | .rar | .zip | .djv | .djvu | .svg | .bmp | .png | .gif | .raw | .cgm | .jpeg | .jpg | .tif | .tiff | .NEF | .psd | .cmd | .bat | .sh | .class | .jar | .java | .rb | .asp | .cs | .brd | .sch | .dch | .dip | .pl | .vbs | .vb | .js | .asm | .pas | .cpp | .php | .ldf | .mdf | .ibd | .MYI | .MYD | .frm | .odb | .dbf | .db | .mdb | .sql | .SQLITEDB | .SQLITE3 | .asc | .lay6 | .lay | .ms11 (Security copy) | .ms11 | .sldm | .sldx | .ppsm | .ppsx | .ppam | .docb | .mml | .sxm | .otg | .odg | .uop | .potx | .potm | .pptx | .pptm | .std | .sxd | .pot | .pps | .sti | .sxi | .otp | .odp | .wb2 | .123 | .wks | .wk1 | .xltx | .xltm | .xlsx | .xlsm | .xlsb | .slk | .xlw | .xlt | .xlm | .xlc | .dif | .stc | .sxc | .ots | .ods | .hwp | .602 | .dotm | .dotx | .docm | .docx | .DOT | .3dm | .max | .3ds | .xml | .txt | .CSV | .uot | .RTF | .pdf | .XLS | .PPT | .stw | .sxw | .ott | .odt | .DOC | .pem | .p12 | .csr | .crt | .key

Avec Locky, du trafic DGA est généré dans le programme de saisie des commandes (les domaines répertoriés ci-dessous n’étaient pas enregistrés au moment où nous avons procédé à cette enquête) :
vkrdbsrqpi[.]de
jaomjlyvwxgdt[.]fr
wpogw[.]it
ofhhoowfmnuihyd[.]ru

Plusieurs indicateurs de compromission (fichiers, clés de registre, etc.) ont été détectés :

Registry : HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Locky
Registry : HKCU\Software\Locky\id
Registry : HKCU\Software\Locky\pubkey
Registry : HKCU\Software\Locky\paytext
File : C :\Users\(username)\AppData\Local\Temp\ladybi.exe
File : C :\Users\(username)\Documents\_Locky_recover_instructions.txt

Command : vssadmin.exe Delete Shadows /All /Quiet Command : "C :\Windows\system32\NOTEPAD.EXE" C :\Users\Admin\Desktop\_Locky_recover_instructions.txt

Bien que l’application de solutions de protection au niveau des réseaux et des terminaux permette toujours plus de prendre les mesures qui s’imposent avec les ransomwares ayant fait les gros titres au cours des dernières années (CryptoLocker, CryptoWall, etc.), de nouvelles variantes continueront à émerger. Rendez-vous à nouveau sur notre site cette semaine pour consulter la liste de tous les nouveaux ransomwares incriminés.

IOCs
Sample hashes
e95cde1e6fa2ce300bf778f3e9f17dfc6a3e499cb0081070ef5d3d15507f367b (Neutrino EK)
5466fb6309bfe0bbbb109af3ccfa0c67305c3464b0fdffcec6eda7fcb774757e (attachment)
Filesystem IOCs (files, registry keys used for persistence, etc) :
Registry : HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Locky
Registry : HKCU\Software\Locky\id
Registry : HKCU\Software\Locky\pubkey
Registry : HKCU\Software\Locky\paytext
File : C :\Users\(username)\AppData\Local\Temp\ladybi.exe
File : C :\Users\(username)\Documents\_Locky_recover_instructions.txt

Command : vssadmin.exe Delete Shadows /All /Quiet Command : "C :\Windows\system32\NOTEPAD.EXE" C :\Users\Admin\Desktop\_Locky_recover_instructions.txt
Payloads downloaded by macro :
hxxp ://www.iglobali[.]com/34gf5y/r34f3345g.exe
hxxp ://www.southlife[.]church/34gf5y/r34f3345g.exe
hxxp ://www.villaggio.airwave[.]at/34gf5y/r34f3345g.exe
hxxp ://www.jesusdenazaret[.]com.ve/34gf5y/r34f3345g.exe
hxxp ://66.133.129[.]5/ chuckgilbert/09u8h76f/65fg67n
hxxp ://173.214.183[.]81/ tomorrowhope/09u8h76f/65fg67n
hxxp ://iynus[.]net/ test/09u8h76f/65fg67n

Locky C2 :
hxxp ://109.234.38[.]35/main.php
hxxp ://lneqqkvxxogomu[.]eu/main.php
hxxp ://qpdar[.]pw/main.php
hxxp ://ydbayd[.]de/main.php
hxxp ://ssojravpf[.]be/main.php
hxxp ://gioaqjklhoxf[.]eu/main.php
hxxp ://txlmnqnunppnpuq[.]ru/main.php

Payment URIs (Locky asks user to click these links) :
hxxp ://6dtxgqam4crv6rr6.tor2web[.]org
hxxp ://6dtxgqam4crv6rr6.onion[.]to
hxxp ://6dtxgqam4crv6rr6.onion[.]cab
hxxp ://6dtxgqam4crv6rr6.onion[.]link
hxxps ://6dtxgqam4crv6rr6[.]onion




Voir les articles précédents

    

Voir les articles suivants