Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Proofpoint : Le nouveau ransomware Bart provient des acteurs propageant les menaces Dridex et Locky

juillet 2016 par Proofpoint

Les acteurs qui se cachent derrière Dridex 220 et Locky Affid=3 ont lancé un nouveau ransomware appelé « Bart », qu’ils téléchargent sur HTTPS au moyen du malware RockLoader. Bart affiche un écran de paiement similaire à Locky mais il crypte les fichiers sans se connecter au préalable à un serveur de commande et contrôle (C&C).

Le 24 juin, les chercheurs de Proofpoint ont détecté une vaste campagne de pièces jointes Zip contenant du code JavaScript. Si celles-ci sont ouvertes par le destinataire, elles téléchargent et installent le chargeur intermédiaire RockLoader (précédemment découvert par Proofpoint et utilisé avec Locky), qui télécharge à son tour le nouveau ransomware dénommé « Bart ». Les messages envoyés dans le cadre de cette campagne sont intitulés « Photos » et accompagnés d’une pièce jointe « photos.zip », « image.zip », « Photos.zip », « photo.zip », « Photo.zip » ou « picture.zip ». Les fichiers Zip contiennent un document JavaScript, par exemple « PDF_123456789.js ».

Figure 1 – E-mail contenant le code JavaScript compressé en Zip et diffusant le ransomware Bart

Pour informer la victime que son système est infecté et que ses fichiers sont cryptés, ce ransomware crée deux sortes de fichiers, similaires à de nombreux autres types de ransomware. Plus précisément, il insère un document « recover.txt » dans des dossiers multiples et remplace l’image de fond d’écran du bureau par celle du fichier « recover.bmp » (Figure 2).

Figure 2 – Fond d’écran remplacé par l’image recover.bmp

Figure 3 – L’ordinateur est parsemé de fichiers recover.txt

Avant d’écrire les fichiers « recover », le malware détermine la langue du système de l’utilisateur. Il dispose de traductions en français, italien, allemand et espagnol. Il se fie également à la langue du système pour éviter d’infecter les utilisateurs russes, ukrainiens et biélorusses. Cette première campagne paraît viser dans une large mesure des intérêts américains mais, compte tenu de la dimension mondiale du ciblage de Locky et Dridex et des traductions disponibles pour les fichiers « recover », nous ne pensons pas que Bart va se cantonner à cette région du monde.

Figure 4 – Bart ne se lance pas s’il découvre que la langue du système de l’utilisateur est le russe, l’ukrainien ou le biélorusse et il vérifie quelques autres langues, probablement afin de déterminer celle dans laquelle le message de demande de rançon doit s’afficher.

Après cryptage, une extension « .bart.zip » est ajoutée au nom des fichiers cryptés. Un rapide examen confirme qu’il s’agit bien d’archives Zip cryptées. Voici la liste des types de fichiers cryptés par Bart :

Le message de demande de rançon exhorte l’utilisateur à se rendre sur un portail de paiement pour y verser 3 bitcoins (un peu moins de 2000 dollars au taux de conversion actuel). Le portail de paiement est similaire à celui utilisé par Locky (Figures 5 et 6). Visuellement, seul le titre « Decryptor Bart » est différent, venant se substituer à « Locky Decryptor ». Si les portails de paiement de Locky et Bart sont visuellement identiques, le code du nouveau ransomware est largement distinct de Locky.

Figure 5 – Portail de paiement du ransomware Bart

Figure 6 – Portail de paiement du ransomware Locky

Actuellement nous sommes encore en train d’étudier les autres détails techniques du fonctionnement de Bart. Celui-ci ne paraît pas disposer d’un mécanisme de communication réseau avec un serveur C&C. Il est probable que les informations nécessaires sur la machine infectée soient plutôt transmises au serveur de paiement dans le paramètre « id » de l’URL. Le malware utilise le programme open source WProtect pour la virtualisation du code.

En résumé, les caractéristiques reliant jusqu’ici le ransomware Bart aux acteurs qui propagent Dridex 220 et Locky Affid=3 sont les suivantes :
_• Même mécanisme de diffusion par e-mail (titre et corps du message, pièces jointes JavaScript compressées en Zip téléchargeant RockLoader qui télécharge à son tour la charge malveillante finale).
• Message de demande de rançon similaire à Locky.
• Portail de paiement similaire à Locky.
• Le serveur RockLoader hébergeant la charge malveillante Bart héberge également Locky affid=3 (MD5 : 3d2607a7b5519f7aee8ebd56f2a65021) et Dridex 220 (MD5 : ed4191e07f49bbe60f3c00a0b74ec571).
• Une partie du code est partagée ou similaire entre Locky et Bart, par exemple celle qui modifie l’image de fond d’écran du bureau de l’utilisateur.

Conclusion

Alors que nous étudions encore les détails techniques de ce nouveau ransomware, les liens entre Bart et Dridex/Locky sont non négligeables. Cependant, du fait que Bart n’a pas besoin de communiquer avec une infrastructure C&C avant de crypter les fichiers, celui-ci est peut-être en mesure de s’attaquer à des PC protégés par des firewalls d’entreprise qui bloqueraient ce type de trafic. Les entreprises doivent donc veiller à bloquer Bart au niveau de la passerelle de messagerie, au moyen de règles de filtrage des fichiers exécutables compressés en Zip. Nous allons continuer à surveiller et analyser Bart à mesure qu’apparaissent des campagnes et détails supplémentaires.


Voir les articles précédents

    

Voir les articles suivants