Le ransomware 5ss5c est le successeur de Satan

Un ransomware nommé “5ss5c” a fait son apparition et semble être en plein développement. Selon le chercheur indépendant Bart Blaze, ce nouveau malware est le successeur du ransomware Satan et ses auteurs sont encore en phase d’expérimentation.

Blaze a déclaré dans un article que 5ss5c et Satan partagent beaucoup de similarités de code. Satan a disparu de la circulation il y’a quelques mois, juste après avoir ajouté l’exploit EternalBlue à sa panoplie d’attaques. 5ss5c semble avoir remplacé Satan.

“Le groupe a développé un nouveau ransomware, 5ss5c, depuis au moins Novembre 2019,” a précisé Blaze. “Il y’a plusieurs artefacts du ransomware Satan, ainsi que des tactiques, des techniques et des procédures partagées. Par exemple, l’utilisation de plusieurs emballeurs pour protéger leurs droppers et payloads.”

Il a déclaré que comme Satan avant lui, 5ss5c est un malware de seconde phase qui est téléchargé par un dropper. Ce même dropper télécharge aussi l’exploit EternalBlue, Mimikatz (le voleur de mots de passe Windows), un second voleur de données sensibles et le ransomware lui même. Il crée aussi des logs, notant si les partages SMB sont disponibles (cible de l’exploit EternalBlue) et si les téléchargements sont réussis ou pas.

dridex 5ss5c

Mais 5ss5c va plus loin que Satan. Le dropper fournit des données sensibles encodées pour le serveur command-and-control (C2) et le ransomware utilise ces données pour se connecter à la base de donnée SQL avec la commande xp_cmdshell. Les opérateurs utilisent trois différents emballeurs pour offusquer le code: MPRESS, Enigma et Enigma VirtualBox. Ce dernier est utilisé pour emballer un module d’épandage supplémentaire, nommé poc.exe . Ce nom pourrait signifier “proof of concept” (preuve de concept) et indique que les auteurs du ransomware sont encore en train d’expérimenter, a déclaré Blaze.

Il y’a une autre amélioration à propos de ce que le ransomware chiffre. Comme Satan, il a une liste d’exclusion de certains types de fichier et dossier qui resteront non-chiffrés lors de l’infection, y compris les dossiers appartenant à la compagnie de sécurité chinoise Qihoo 360. Cependant, il a une nouvelle liste de cibles, y compris les fichiers avec les extensions suivantes: 7z, bak, cer, csv, db, dbf, dmp, docx, eps, ldf, mdb, mdf, myd, myi, ora, pdf, pem, pfx, ppt, pptx, psd, rar, rtf, sql, tar, txt, vdi, vmdk, vmx, xls, xlsx, zip.

“Cette liste d’extensions n’est pas la même qu’avant, et inclut en majorité des documents, des archives, des fichiers de base de données et des extensions liées à VMware comme vmdk,” a expliqué Blaze.

5ss5c a aussi une demande de rançon différente. Il crée une note de ransomware en chinois sur le disque C:\ appelé “_Comment déchiffré mon fichier_.txt,” sur laquelle ont peut lire, “Certains fichiers ont été chiffré. Si vous voulez récupérer les fichiers chiffrés, envoyez des Bitcoins à mon porte-feuille. Si le paiement n’est pas effectué dans les 48 heures après le début du chiffrement, le montant du déchiffrement sera doublé. Si vous avez d’autres questions, vous pouvez me contacter par email. Vos informations de déchiffrement sont: Email:[5ss5c@mail.ru].” La note de contient pas d’adresse Bitcoin.

“La note ne contient que des instructions en Chinois, pas de Coréen ou d’Anglais comme les précédentes itérations,” a précisé Blaze. “Est-ce que le ransomware 5ss5c est plus ciblé ou est juste en train d’être testé par le groupe de développeurs qui l’ont créé?”

Comment se protéger de 5ss5c?

Comme toujours, les utilisateurs peuvent se protéger des ransomware en gardant leurs systèmes à jour, en utilisant des antivirus et des pare-feux, et le plus important, en créant des sauvegardes de fichiers qui seront stockées autre part et séparées du reste du réseau.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x