Thanos, le rançongiciel qui utilise la technique RIPlace

Les chercheurs ont découvert un nouveau rançongiciel nommé Thanos, qui, selon eux, gagne en popularité dans plusieurs forums souterrains.

Thanos est la première famille de ransomwares observée qui utilise la tactique RIPlace. RIPlace est une technique de système de fichiers Windows dévoilée dans une preuve de concept (PoC) l’an dernier par des chercheurs de Nyotron. Cette technique peut être utilisée pour modifier de manière malveillante des fichiers et permet aux pirates informatiques de contourner diverses méthodes anti-rançongiciel.

En plus de son utilisation de RIPlace, Thanos n’intègre aucune nouvelle fonctionnalité et sa structure et ses fonctionnalités générales sont simples. Mais cette facilité d’utilisation peut être la raison pour laquelle Thanos a gagné en popularité parmi les cybercriminels, selon une étude publiée par le groupe Insikt de Recorded Future.

«Le ‘rançongiciel as a service’ fournit un moyen aux cybercriminels moins expérimentés d’utiliser le malware dans le cadre de leurs opérations, et à ce jour, ces services restent populaires dans les forums clandestins», a déclaré Lindsay Kaye, directrice des résultats opérationnels du groupe Insikt chez Recorded Future. «Il est difficile de dire si le rançongiciel en tant que service deviendra lui-même plus sophistiqué à l’avenir, mais en général, les acteurs du rançongiciel deviennent plus sophistiqués – ils investissent de l’argent pour ajouter plus d’exploits, donc cela peut se matérialiser sous la forme de rançongiciels plus sophistiqués offerts dans le cadre du marché RaaS(Rançongiciel as a Service). »

pxj ransomware

Thanos a été repéré pour la première fois par des chercheurs en Janvier, en vente sur un forum souterrain. Il a été développé par un hacker qui utilise le pseudonyme «Nosophoros». Le pirate a continué de développer Thanos au cours des six derniers mois, avec des mises à jour régulières et de nouvelles fonctionnalités (la nouvelle tactique RIPlace a été annoncée pour la première fois en Février, par exemple).

Le builder de Thanos donne aux opérateurs la possibilité de créer des clients de rançongiciels avec différentes options pouvant être utilisées dans les attaques. Sur les forums clandestins, il est vendu en tant que «programme d’affiliation Ransomware», similaire au modèle RaaS (ransomware-as-a-service). Thanos est proposé sous forme d’abonnement mensuel «light» ou à vie «company». La version «company» inlcut des fonctionnalités supplémentaires, par rapport à la version light, telles que des fonctionnalités de vol de données, des tactiques RIPlace et des capacités de mouvement latéral.

Le builder de Thanos

Le rançongiciel propose différentes options de configuration, fonctionnalités et classes en fonction du service. Les chercheurs ont observé plus de 80 «clients» de Thanos avec différentes options de configuration activées.

L’une des fonctionnalités de l’option “company” est la possibilité de modifier le processus de chiffrement de Thanos pour utiliser la technique RIPlace, qui a été publiée l’année dernière par Nyotron en tant que preuve de concept. La preuve de concept a montré comment un rançongiciel peut remplacer les fichiers d’une victime par des données chiffrées, en écrivant les données chiffrées de la mémoire dans un nouveau fichier, puis en utilisant «Renommer» pour remplacer le fichier d’origine. Une fois ce fichier sensible remplacé (d’où le nom «RIPlace»), il permet aux pirates informatiques de contourner les protections contre les rançongiciels.

“Dans le builder de Thanos, un utilisateur peut choisir de sélectionner l’option d’activation de RIPlace, ce qui entraîne une modification du flux de travail du processus de chiffrement pour utiliser la technique”, a déclaré Kaye.

thanos

Une autre fonctionnalité offerte par le client Thanos est le mouvement latéral. Cette fonctionnalité utilise un outil de sécurité légitime appelé SharpExec, spécialement conçu pour les mouvements latéraux. Le client télécharge les outils SharpExec à partir d’un référentiel GitHub, analyse le réseau local pour obtenir une liste d’hôtes en ligne et utilise la fonctionnalité de SharpExec pour exécuter ensuite le client Thanos sur des ordinateurs distants.

Les autres fonctionnalités de Thanos incluent la possibilité d’exfiltrer tous les fichiers qui ont des extensions spécifié, un outil anti-analyse permettant au client d’effectuer plusieurs vérifications pour déterminer s’il s’exécute dans un environnement de machine virtuelle et deux autres options d’obscurcissement.

Lors du chiffrement des données pour les victimes, Thanos utilise une chaîne aléatoire de 32 octets générée lors de l’exécution comme mot de passe pour le chiffrement AES du fichier. La chaîne est ensuite chiffrée avec la clé publique de l’opérateur du rançongiciel et sans la clé privée correspondante, la récupération des fichiers chiffrés est impossible.

“Le builder de Thanos inclut la possibilité d’utiliser un mot de passe statique pour le chiffrement AES des fichiers”, ont déclaré les chercheurs. Si cette option est sélectionnée, les clients générés par Thanos contiendront le mot de passe AES utilisé pour chiffrer les fichiers. Surtout, cela signifie que si un client Thanos est récupéré après le chiffrement, il est possible que les victimes puissent récupérer leurs fichiers sans payer la rançon, selon les chercheurs.

Le futur de Thanos

En se basant sur la similarité du code, de la réutilisation des chaînes, de l’extension du rançongiciel et du format des notes de rançon, les chercheurs affirment penser «avec une grande confiance» que les échantillons de rançongiciels identifiants comme Hakbit sont construits à l’aide du builder de Thanos développé par Nosophoros.

Thanos est en cours de développement: les chercheurs ont observé que le rançongiciel recevait des commentaires positifs des cybercriminels sur les forums clandestins, affirmant que l’outil “fonctionnait parfaitement” et demandant de “maintenir les mises à jour à venir”. Cela dit, à ce jour, les chercheurs de Recorded Future n’ont pas encore explicitement observé que Thanos était utilisé dans le cadre d’une attaque réelle contre une entreprise.

Les chercheurs pensent que Thanos continuera d’être armé par les cybercriminels. Cependant, ils ont déclaré que les «meilleures pratiques de sécurité» peuvent protéger les entreprises contre les rançongiciels.

“Avec les meilleures pratiques de sécurité de l’information telles que l’interdiction des connexions FTP externes et la mise sur liste noire des outils de sécurité offensifs connus, les risques associés aux deux composants clés de Thanos – le voleur de données et le mouvement latéral – peuvent être évités”, ont déclaré les chercheurs.

Si cet article vous a plu, jetez un œil à notre article précédent.