Le malware DeathRansom lié à 5 autres campagnes de malware

La campagne active DeathRansom semble faire partie d’une collection plus large d’offensives malveillantes, toutes lancées par un hacker se faisant appelé “scat01“.

Selon Artem Semenchenko et Evgeny Ananin de FortiGuard Labs, des indices trouvés sur des forums Russes et dans leur enquête semble indiqué une connexion entre DeathRansom et d’autres campagnes de malware, toutes directement lié à un individu russophone résidant en Italie.

La première campagne de malware qui a pu être connecté à DeathRansom est la campagne Vidar.

“Les échantillons partagent le même modèle d’appellation et utilise la même infrastructure,” ont expliqué les chercheurs dans un communiqué récent. “Nous avons aussi trouvé des preuves qu’un échantillon de Vidar a essayé de télécharger le malware DeathRansom.”

Commençant avec un échantillon dont le nom de fichier est “Wacatac_2019-11-20_00-10.exe“, les chercheurs ont découvert qu’il était téléchargé depuis un répertoire Bitbucket maintenu par quelqu’un utilisant le pseudo “scat01”. En jetant un œil à d’autres échantillons qui ont accédé au même répertoire, ils ont remarqué que l’un d’entre eux contenait aussi des librairies de Vidar utilisées pour extraire les mots de passe depuis différents navigateurs. L’échantillon en question a aussi essayé de télécharger une autre variante de DeathRansom qui utilisait aussi la chaîne de caractère “Wacatac” dans son nom.

“DeathRansom utilise le nom ‘Wacatac’ pour stocker les clés de chiffrement dans un registre,” ont expliqué Semenchenko et Ananin. “Donc, en se basant sur le fait qu’ils ont le même hébergement, le même modèle d’appellation et que l’échantillon de Vidal a essayé de télécharger un échantillon de DeathRansom, nous pouvons conclure que la campagne de Vidar et la campagne de DeathRansom viennent du même individu qui utilise le pseudo ‘scat01’ comme nom de profil sur Bitbucket ou nom d’échantillons de malwares.”

Pour aller plus loin, ils ont ensuite cherché d’autres échantillons de malware contenant la chaîne de caractère ‘scat01’, ce qui a révélé un nombre important de types de malware connectés à ce nom. Les chercheurs ont trouvé des échantillons du virus Azorult qui se connecte à un serveur command-and-control (C2) nommé “scat01[.]tk“. Ils ont aussi trouvé d’autres liens avec scat01 pour les virus Evrial et 1ms0rryStealer.

L’enquête les a aussi mené à un site nommé gameshack[.]ru, contrôlé par des hackers et utiliser pour distribuer des échantillons malveillants attribués à scat01. Le domaine hébergeait un dossier racine contenant plusieurs échantillons malveillants de malware de téléchargement, qui en retour récupéraient des échantillons du voleur de données Evrial et du cryptomineur Supreme.

“Cet échantillon utilise le même service d’enregistreur IP pour compter les hôtes infectés que les échantillons DeathRansom,” ont expliqué les chercheurs.

Au final, ils ont été capable de trouver des liens entre scat01 et les malwares Vidar, Azorult, Evrial, 1ms0rryStealer, Supreme et DeathRansom.

Il faut préciser que DeathRansom à commencer comme une blague, il demandait une rançon alors qu’il ne chiffrait même pas les fichiers. Cependant, FortiGuard Labs a découvert que le malware avait évolué et incorporait maintenant de vraies capacités de chiffrement.

deathransom

Qui est ce scat01 derrière le malware DeathRansom?

Scat01 semble être un cybercriminel Russophone résidant en Italie dont le vrai nom serait Egor Nedugov, selon les chercheurs.

Pour découvrir cela les chercheurs se sont lancés dans des recherches web sans fins, suivant les informations de contact sur internet.

Par exemple, scat01 était lié à une adresse email yandex.ru dans la section propriétaire de plusieurs échantillons. Semenchenko et Ananin ont décidé de parcourir les forums sous-terrains et de chercher “scat01”. Cela leur a permis de trouver d’autres connexions aux malwares mentionnés plus haut.

Un individu utilisant le pseudo scat01 donnait son avis (en Russe) sur Vidar et Supreme. Une autre contribution de scat01 sur un forum différent faisant référence à Evrial. Il y’avait aussi une évaluation de produit sur Yandex.Market utilisant l’adresse email yandex.ru qui avait déjà été lié au malware. L’évaluation était géolocalisé et semblait venir d’une petite ville russe nommé Aksay qui ne se trouve pas loin de Rostov-on-Don. Tout ces comptes avaient la même photo de profil.

Ils ont ensuite essayé d’associer ce pseudo à une personne réelle. Ils sont tombés sur une chaîne Youtube faisant la publicité du site malveillant gameshack[.]ru et dont le nom d’utilisateur était “SoftEgorka“. Ils ont aussi trouvé un lien Skype avec le même nom d’utilisateur associé au compte Youtube.

“En cherchant SoftEgorka, nous avons trouvé un autre profil sur un des forums Russes mentionnés précédemment,” ont précisé les chercheurs. “Cette fois le nom d’utilisateur était ‘Super Info’… En cherchant un peu dans les contributions de Super Info, nous avons trouvé une annonce à propos de la vente de comptes (Steam, WoT, Origin). Les virus que nous avons nommés sont tout a fait capable de dérober les mots de passe de ce genre de comptes.”

Le profil contenait un identifiant WebMoney, qui est aussi mentionné dans un autre post du même utilisateur. Ce dernier contient une autre adresse Skype avec le pseudo “nedugov99“. Après avoir chercher cette adresse ils ont trouvé une vieille annonce pour la vente d’un compte de jeux vidéos. Ce compte incluait un numéro de téléphone appartenant à la région Rostov-on-Don et un identifiant correspondant au nom Egor Nedugov.

“Le nom ‘Egor’ correspond à l’un des pseudos sur les forums sous-terrains, SoftEgorka, et le nom de famille Nedugov correspond au compte Skype nedugov99,” ont déclaré les chercheurs. “Selon le profil, cet individu vit à Rostov-on-Don. Rappelez vous que l’évaluation Yandex faite par scat01 était géolocalisé à Aksay, une petite ville près de Rostov-on-Don.”

En jetant un coup d’oeil aux comptes Facebook et Instagram d’Egor Nedugov, les chercheurs ont découvert qu’il avait vécu en Italie pendant un certain temps.

Si cet article vous a plu, jetez un œil à notre article précédent.

Poster un Commentaire

avatar
  S’abonner  
Notifier de