PXJ: un nouveau rançongiciel a été découvert sur la toile

Les chercheurs ont découvert une nouvelle souche de rançongiciel nommée ‘PXJ‘. Bien que PXJ exécute des fonctions similaires à d’autres variantes de rançongiciel, il ne semble pas partager le même code sous-jacent que la plupart des familles de rançongiciel connues, selon les chercheurs.

Ils ont découvert PXJ pour la première fois le 29 février 2020, après avoir découvert deux échantillons qui ont été partagés sur VirusTotal par un utilisateur.

«L’émergence de nouvelles souches de rançongiciel est presque quotidienne de nos jours, facilitée par la capacité des nouveaux cybercriminels à acheter des rançongiciels à faible coût ou même à obtenir du code gratuitement sur certains forums», a déclaré Megan Roddie, chercheuse en cybermenaces chez IBM. X-Force dans un communiqué. «De plus, les groupes de cybercriminalité organisés utilisent des rançongiciels pour extorquer des organisations et les obliger à négocier des rançons de plusieurs millions de dollars dans chaque cas.»

Processus d’attaques de PXJ

Roddie a déclaré qu’à l’heure actuelle, le vecteur d’infection initial de PXJ était inconnu. Tout comme d’autres souches de rançongiciels, une fois qu’il infecte un système, PXJ démarre sa chaîne d’attaque en désactivant la capacité de la victime à récupérer des fichiers supprimés. Il vide la corbeille (à l’aide de la fonction “SHEmptyRecycleBinW”), puis exécute une série de commandes pour empêcher la récupération des données qui ont été chiffrées. Il s’agit notamment de supprimer les copies volume shadow qui peuvent créer des copies de sauvegarde dans Microsoft Windows, et de désactiver le service Windows Error Recovery.

Ensuite, PXJ commence le processus de chiffrement de fichiers. Sur la demande de rançon, les chercheurs ont pu remarquer que le processus de chiffrement comprend le cryptage des photos et des images, des bases de données, des documents, des vidéos et d’autres fichiers sur l’appareil. PXJ utilise un double chiffrement (algorithmes AES et RSA) pour verrouiller les données, ce qui, selon les chercheurs, est une pratique assez courante pour empêcher une récupération potentielle en cassant le chiffrement.

pxj

«De nombreux codes de rançongiciel commencent par chiffrer les fichiers avec l’algorithme AES, un chiffrement symétrique, car il peut chiffrer les fichiers plus rapidement, cela permet de terminer la tâche avant que le processus malveillant ne puisse être interrompu», ont déclaré les chercheurs. “La clé AES est ensuite chiffrée avec une clé asymétrique plus forte, dans ce cas, le cryptosystème RSA.”

Après avoir chiffré les données, PXJ dépose ensuite la demande de rançon dans un fichier (appelé «LOOK.txt»), qui demande à la victime de contacter le pirate par e-mail pour payer la rançon, en échange de la clé de déchiffrement.

Si les victimes ne paient pas (en Bitcoin), le montant de la rançon doublera chaque jour après les trois premiers jours. Le pirate dit également aux victimes que dans une semaine, la clé de déchiffrement sera détruite, ce qui rendrait la victime incapable de récupérer les fichiers et les données chiffrés.

Changement de tactique de PXJ

En examinant les deux nouveaux échantillons de PXJ téléchargés sur VirusTotal, les chercheurs ont déclaré avoir remarqué que les adresses e-mail du pirate, les fichiers déposés et le mutex (un objet d’exclusion mutuelle qui permet à plusieurs threads de programme de partager la même ressource, comme l’accès aux fichiers, mais pas simultanément) semblaient être pareils pour les deux rançongiciels.

Cependant, une nouvelle communication réseau a été découverte dans l’un des échantillons et n’était pas dans l’autre, ce qui signifie qu’il y’a eu une évolution entre les deux. Plus précisément, les URL dans l’un des échantillons contenaient un paramètre de vérification du trafic appelé «jeton» avec une valeur codée en Base-64.

Étant donné que le trafic était minime, Roddie a déclaré qu’elle supposait que le paramètre signalait simplement aux opérateurs qu’un hôte avait été infecté. Sans la communication réseau, les opérateurs ne savent pas si un hôte a été infecté à moins que la victime ne les contacte lorsqu’elle trouve la demande de rançon, donc un simple jeton envoyé à leur serveur leur fait savoir qu’il y a une victime, a-t-elle déclaré.

«Notre hypothèse est que cela peut être une sorte de vérification du trafic étant donné le manque de payload et la présence de plusieurs requêtes GET qui incluent des dates; cependant, cela n’a pas encore été confirmé », ont déclaré des chercheurs. «Aucun payload supplémentaire ne semble être inclus dans la requête GET envoyée à ces URL et le serveur distant renvoie simplement« 0 »en réponse.»

ransomware

Roddie a déclaré que les entreprises peuvent se protéger en adoptant les meilleures pratiques de défense contre les rançongiciels. Les ransomwares continuent d’être un vecteur d’attaque rentable pour les cybercriminels. Microsoft a récemment averti que des variantes de ransomwares comme REvil, Bitpaymer et Ryuk adoptent de nouvelles techniques qui leur permettent de fonctionner sans entraves dans les réseaux. Les attaques de ransomwares ont également entraîné des perturbations à grande échelle dans les pipelines, les entreprises de télémarketing et les gouvernements.

Si cet article vous a plu, jetez un œil à notre article précédent.

Poster un Commentaire

avatar
  S’abonner  
Notifier de