Serveur d'impression

Buran Ransomware cherche à saper la concurrence – Serveur d’impression

Le 31 décembre 2019 - 9 minutes de lecture

Des recherches récentes estiment que les attaques de ransomwares contre les entreprises ont augmenté d'année en année d'environ 500%. Étant donné que le Cyber ​​Monday et le Black Friday sont à une distance frappante, une recrudescence des infections de ransomwares devrait non seulement être attendue, mais également activement défendue. Une variante du ransomware qui devrait faire sa marque pendant la saison des fêtes est une relativement nouvelle nommée Buran.

Bourane a été découverte en mai par un chercheur en sécurité nao_sec. Ses opérateurs ont rapidement choisi une voie qui, si elle était effectuée correctement, leur rapporterait beaucoup plus d'argent que s'ils distribuaient eux-mêmes le rançongiciel. En adoptant un modèle commercial RaaS (ransomware-as-a-service), les opérateurs cherchent à créer une armée de sociétés affiliées pour distribuer le ransomware, en espérant leur rapporter une somme ordonnée de Bitcoin dans le processus. RaaS a tendance à fonctionner en permettant aux affiliés de distribuer le ransomware, tandis que les créateurs du ransomware prennent un pourcentage des rançons extorquées par les affiliés.

VegaLocker

Une analyse menée par des chercheurs en sécurité a révélé que Bourane n'est pas une menace entièrement nouvelle; le code partage plutôt plusieurs artefacts avec une précédente famille de ransomwares, Jumper ou Jamper, qui est elle-même une évolution de VegaLocker. D'autres similitudes, telles que la façon dont les fichiers sont stockés dans le dossier temporaire et la façon dont le ransomware modifie le registre, ont été notées par les chercheurs. Cependant, ces facteurs indiquent seulement une relation; l'un des principaux éléments de preuve liant les familles ci-dessus est la façon dont ils utilisent tous les mêmes méthodes pour supprimer les clichés instantanés, les sauvegardes et la sauvegarde du système.

L'une des dernières campagnes connues vues lors de la distribution de VegaLocker a eu lieu de fin 2018 à avril 2019. Le ransomware a été abandonné en tant que charge utile après qu'une campagne de malvertisation a réussi à compromettre des machines. VegaLocker n'était pas la seule charge utile – la campagne visait également à diffuser des chevaux de Troie bancaires et des logiciels espions. Les charges utiles de ransomware distribuées plus tard par la campagne de malvertising étaient supposées être Buran; cependant, ils se sont avérés plus tard être VegaLocker, son grand-père en quelque sorte. Cela a peut-être été le chant du cygne du ransomware, seulement pour laisser la place aux opérateurs consacrant leur temps à Bourane. Cela donne également du crédit à l'idée que Bourane est une évolution de VegaLocker.

Bourane

Buran est annoncé sur les forums clandestins comme une souche stable de logiciels malveillants qui possède un composant cryptographique hors ligne, une assistance 24/7, des clés globales et de session et aucune dépendance tierce telle que des bibliothèques. Pour la plupart, les chercheurs sont d'accord avec l'annonce. Ils ont en outre découvert que le ransomware est capable de rechercher des lecteurs locaux et des chemins réseau. Bourane peut également crypter des fichiers sans modifier l'extension de fichier, supprimer des points de récupération, supprimer des journaux et supprimer des catalogues de sauvegarde. Il est également capable de se supprimer.

Capture d'écran des fichiers cryptés par le rançongiciel Buran:

Fichiers cryptés par rançongiciel Buran

Là où les opérateurs de Bourane peuvent avoir un peu brouillé, c'est qu'ils déclarent que le ransomware est compatible avec toutes les versions de Windows. La recherche a révélé que ce n'était pas le cas, car Windows XP semble être immunisé. Comme avec Sodinokibi, un autre ransomware populaire offert en tant que RaaS, le kit d'exploitation RIG semble être la méthode de distribution préférée actuelle. En particulier, le ransomware tire parti de CVE-2018-8174 pour permettre le compromis initial des machines. La vulnérabilité porte également le nom de vulnérabilité d'exécution de code à distance du moteur VBScript de Windows et est classée comme une vulnérabilité d'exécution de code à distance qui permet d'exécuter du code malveillant en abusant de la façon dont le moteur VBScript gère les objets en mémoire. La vulnérabilité affecte Windows 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2012, Windows 8.1, Windows Server 2016, Windows Server 2008 R2, Windows 10 et Windows 10 Servers.

Capture d'écran d'un message demandant une rançon affiché par ce rançongiciel:

Bourane rançon demande un message

Actuellement, deux versions de Bourane ont été détectées jusqu'à présent, toutes deux écrites en Delphi. La deuxième version montre des améliorations par rapport à la première. L'amélioration du code est nécessaire pour les logiciels malveillants qui cherchent à être distribués par les affiliés, car ils voudront des améliorations pour éviter la détection et infecter les machines. C'est également une caractéristique des modèles RaaS, car le ransomware lui-même doit attirer des affiliés et il est peu probable qu'ils s'inscrivent si le malware est perçu comme obsolète. Une fois que Bourane est tombé sur un système vulnérable, il vérifiera si la machine est enregistrée au Bélarus, en Russie ou en Ukraine. Si la vérification retourne vrai, Buran se fermera.

Une autre caractéristique du malware à noter est qu'il est capable de créer des fichiers et de les stocker dans des dossiers temporaires. Buran cherchera également à maintenir la persistance sur l'ordinateur infecté en créant des clés de registre. Cette tactique de maintien de la persistance a également été trouvée sur Jumper et VegaLocker. Le fait que le code soit écrit en Delphi est également intéressant dans la mesure où le code a été principalement enseigné en Amérique latine et dans les anciens pays qui constituaient l'Union soviétique. Étant donné que le code exclut les machines enregistrées en Russie, en Biélorussie et en Ukraine, certains ont émis l'hypothèse que les opérateurs du ransomware pourraient fonctionner dans l'un de ces trois pays.

Bourane cible les entreprises allemandes

En octobre, des informations ont révélé que des entreprises allemandes étaient activement prises pour cible dans une campagne de distribution de Bourane. Les organisations étaient ciblées via une campagne de malspam utilisant un leurre eFax en conjonction avec un document Word malveillant. La note de rançon a également été traduite en allemand et contenait le mot allemand pour les données – «daten». Le courrier indésirable contenait des liens vers une page PHP qui servait les documents Word malveillants qui téléchargeaient le ransomware, probablement grâce à l'utilisation de macros activées. En utilisant des hyperliens plutôt que des pièces jointes, on pense que les responsables de la campagne tentaient d'éviter la détection par des scanners de logiciels malveillants mis en place pour bloquer les courriers indésirables.

Ce ciblage d'organisations allemandes, ainsi que d'autres campagnes, montre que Buran n'est pas distribué de manière hyper-ciblée. Au contraire, le malware est adapté aux besoins des affiliés derrière une certaine campagne. Le malware utilisé de cette manière est souvent appelé malware de base, car aucune cible spécifique ne moule son développement.

L'objectif principal des développeurs est de gagner de l'argent. Pour continuer à gagner de l'argent, Buran exécute plusieurs fonctionnalités anti-médico-légales pour empêcher la détection et l'analyse par les chercheurs en sécurité. Par exemple, Buran supprime les journaux de connexion RDP, même si le ransomware n'est pas distribué via les connexions RDP. Ces mesures anti-médico-légales sont bruyantes et alertent les réseaux en défense, mais il semble que les développeurs soient plus soucieux de supprimer les preuves plutôt que de détecter tôt le ransomware.

Dépasser la concurrence

Bourane n'est ni le premier ni le dernier élément de ransomware à être proposé en tant que RaaS. Actuellement, Sodinokibi suit un modèle commercial similaire, et GandCrab a pratiquement perfectionné le modèle commercial. Pour obtenir un avantage sur la concurrence, les développeurs de Buran utilisent une tactique commerciale séculaire plutôt qu'un roman ou un nouveau code et des technologies: ce qui réduit leurs concurrents.

Normalement, les développeurs RaaS facturent entre 30% et 40% des infections réussies entraînant le paiement d'une rançon. Les opérateurs de Bourane ne facturent que 25%, des économies substantielles pour ceux qui cherchent à extorquer des fonds, mais ne pourraient pas être dérangés pour développer le ransomware. Ce n'est pas tout ce que les développeurs de Bourane sont prêts à négocier sur leur part de pourcentage – certaines âmes chanceuses pourraient repartir avec des économies encore plus importantes. Étant donné que Buran a reçu une mise à jour depuis sa sortie dans la nature et que les développeurs sont prêts à saper leurs concurrents, il est sûr de supposer qu'ils sont à long terme. Peut-être espèrent-ils qu'en attirant des affiliés à un prix inférieur, ils pourront en attirer plus que leurs concurrents, gagnant ainsi des montants similaires ou plus d'argent illégalement obtenus que leurs rivaux.

Un autre indicateur que les développeurs de Buran sont pour le long terme est que le ransomware n'infectera pas les machines dans certaines régions. Une raison possible est d'empêcher l'attention des forces de l'ordre locales afin qu'elles puissent fonctionner pendant de plus longues périodes.

Étant donné qu'il n'y a pas encore de déchiffreur gratuit disponible pour Bourane, certaines victimes peuvent se sentir obligées de payer. Il est conseillé par les forces de l'ordre qu'aucune rançon ne soit versée lorsque des utilisateurs ou des entreprises sont victimes d'une telle attaque. Les coûts associés au non-paiement pourraient être bien plus élevés. Au risque de sonner comme un record battu, mieux vaut prévenir que guérir. Étant donné que Buran dépend de l'exploitation des vulnérabilités pour infecter les machines, la mise à jour des logiciels et l'abandon des logiciels hérités tels que Flash peuvent considérablement réduire les risques d'être infectés.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.