WastedLocker : une variante complexe de ransomware qui cible les grandes entreprises
Un ransomware est un type de logiciel malveillant conçu pour verrouiller des fichiers sur un ordinateur ou un système jusqu'à ce qu'une rançon soit payée. L'un des premiers ransomwares jamais documentés était le PC Cyborg de 1989 – il exigeait un maigre paiement de rançon de 189 $ pour décrypter les fichiers verrouillés.
La technologie informatique a parcouru un long chemin depuis 1989, et les ransomwares ont évolué avec elle, conduisant à des variantes complexes et puissantes telles que WastedLocker. Alors, comment fonctionne WastedLocker ? Qui en a été affecté ? Et comment protéger vos appareils ?
Qu'est-ce que WastedLocker et comment ça marche ?
Découvert pour la première fois au début de 2020, WastedLocker est exploité par le célèbre groupe de pirates informatiques Evil Corp , également connu sous le nom d'INDRIK SPIDER ou le gang Dridex, et a très probablement des liens avec les agences de renseignement russes.
Le bureau du contrôle des avoirs étrangers du département du Trésor des États-Unis a imposé des sanctions contre Evil Corp en 2019 et le ministère de la Justice a inculpé son chef présumé Maksim Yakubets, ce qui a contraint le groupe à changer de tactique.
Les attaques WastedLocker commencent généralement par SocGholish, un cheval de Troie d'accès à distance (RAT) qui se fait passer pour le navigateur et les mises à jour Flash pour inciter la cible à télécharger des fichiers malveillants.
Une fois que la cible a téléchargé la fausse mise à jour, WastedLocker crypte efficacement tous les fichiers sur son ordinateur et les ajoute avec « wasted », ce qui semble être un clin d'œil aux mèmes Internet inspirés de la série de jeux vidéo Grand Theft Auto.
Ainsi, par exemple, un fichier initialement nommé « muo.docx » apparaîtrait sous le nom « muo.docx.wasted » sur une machine compromise.
Pour verrouiller les fichiers, WastedLocker utilise une combinaison d'algorithmes de cryptage Advanced Encryption Standard (AES) et Rivest-Shamir-Adleman (RSA), ce qui rend le décryptage pratiquement impossible sans la clé privée d'Evil Corp.
L'algorithme de chiffrement AES est utilisé par les institutions financières et les gouvernements – la National Security Agency (NSA), par exemple, l'utilise pour protéger les informations top secrètes.
Nommé d'après trois scientifiques du Massachusetts Institute of Technology (MIT) qui l'ont décrit publiquement pour la première fois dans les années 1970, l'algorithme de cryptage RSA est considérablement plus lent que l'AES et principalement utilisé pour crypter de petites quantités de données.
WastedLocker laisse une demande de rançon pour chaque fichier qu'il crypte et demande à la victime de contacter les attaquants. Le message contient généralement une adresse e-mail Protonmail, Eclipso ou Tutanota.
Les notes de rançon sont généralement personnalisées, mentionnent l'organisation cible par son nom et mettent en garde contre le contact avec les autorités ou le partage des e-mails de contact avec des tiers.
Conçu pour cibler les grandes entreprises, le malware exige généralement des paiements de rançon allant jusqu'à 10 millions de dollars.
Attaques de haut niveau de WastedLocker
En juin 2020, Symantec a découvert 31 attaques WastedLocker contre des entreprises basées aux États-Unis. La grande majorité des organisations ciblées étaient de grands noms bien connus et 11 étaient des entreprises Fortune 500.
Le ransomware visait des entreprises de divers secteurs, notamment la fabrication, les technologies de l'information, les médias et les télécommunications.
Evil Corp a pénétré les réseaux des entreprises ciblées, mais Symantec a réussi à empêcher les pirates de déployer WastedLocker et de conserver des données contre rançon.
Le nombre total réel d'attaques peut être beaucoup plus élevé car le ransomware a été déployé sur des dizaines de sites d'actualités légitimes et populaires.
Inutile de dire que les entreprises qui valent des milliards de dollars ont une protection de premier ordre, ce qui en dit long sur la dangerosité de WastedLocker.
Le même été, Evil Corp a déployé WastedLocker contre la société américaine de GPS et de suivi de fitness Garmin, dont le chiffre d'affaires annuel est estimé à plus de 4 milliards de dollars.
Comme l'a noté la société de cybersécurité israélienne Votiro à l'époque, l'attaque a paralysé Garmin. Elle a perturbé de nombreux services de l'entreprise, et a même eu un effet sur les centres d'appels et certaines lignes de production en Asie.
Garmin aurait payé une rançon de 10 millions de dollars pour retrouver l'accès à ses systèmes. Il a fallu plusieurs jours à l'entreprise pour que ses services soient opérationnels, ce qui a vraisemblablement causé d'énormes pertes financières.
Bien que Garmin ait apparemment pensé que le paiement de la rançon était le moyen le plus efficace et le plus efficace de remédier à la situation, il est important de noter qu'il ne faut jamais faire confiance aux cybercriminels.
Généralement, la meilleure solution en cas de cyberattaque est de contacter immédiatement les autorités.
En outre, les gouvernements du monde entier imposent des sanctions contre les groupes de pirates informatiques, et parfois ces sanctions s'appliquent également aux personnes qui soumettent ou facilitent le paiement d'une rançon, il y a donc également des risques juridiques à prendre en compte.
Qu'est-ce que Hades Variant Ransomware ?
En décembre 2020, des chercheurs en sécurité ont repéré une nouvelle variante de ransomware baptisée Hades (à ne pas confondre avec le Hades Locker 2016, qui est généralement déployé par courrier électronique sous la forme d'une pièce jointe MS Word).
Une analyse de CrowdStrike a révélé que Hades est essentiellement une variante compilée 64 bits de WastedLocker, mais a identifié plusieurs différences clés entre ces deux menaces de logiciels malveillants.
Par exemple, contrairement à WastedLocker, Hades ne laisse pas de note de rançon pour chaque fichier qu'il crypte, il crée une seule note de rançon. Et il stocke les informations clés dans des fichiers cryptés, au lieu de les stocker dans la note de rançon.
La variante Hadès ne laisse pas d'informations de contact ; il dirige plutôt les victimes vers un site Tor, qui est personnalisé pour chaque cible. Le site Tor permet à la victime de décrypter un fichier gratuitement, ce qui est évidemment un moyen pour Evil Corp de démontrer que ses outils de décryptage fonctionnent réellement.
Hades a principalement ciblé les grandes organisations basées aux États-Unis avec des revenus annuels dépassant 1 milliard de dollars, et son déploiement a marqué une nouvelle tentative créative d'Evil Corp pour renommer et échapper aux sanctions.
Comment se protéger contre WastedLocker
Avec l'augmentation des cyberattaques, investir dans des outils de protection contre les ransomwares est un must absolu. Il est également impératif de maintenir les logiciels à jour sur tous les appareils afin d'empêcher les cybercriminels d'exploiter les vulnérabilités connues.
Des variantes sophistiquées de ransomware telles que WastedLocker et Hades ont la capacité de se déplacer latéralement, ce qui signifie qu'elles peuvent accéder à toutes les données d'un réseau, y compris le stockage en nuage. C'est pourquoi le maintien d'une sauvegarde hors ligne est le meilleur moyen de protéger les données importantes des intrus.
Étant donné que les employés sont la cause la plus courante des violations, les organisations doivent investir du temps et des ressources dans la formation du personnel sur les pratiques de sécurité de base.
En fin de compte, la mise en œuvre d'un modèle de sécurité Zero Trust est sans doute le meilleur moyen de s'assurer qu'une organisation est protégée contre les cyberattaques, y compris celles menées par Evil Corp et d'autres groupes de pirates informatiques parrainés par l'État.