Présentation d'Hades Locker
Le 4 octobre dernier, Proofpoint a démasqué un nouveau ransomware appelé Hades Locker, qui reproduit le message de rançon de Locky. Hades Locker semble être une évolution des logiciels rançon Zyklon Locker et Wildfire Locker[1], déjà observés en début d'année sur le même botnet d'envoi (Kelihos[2]). Les campagnes CryptFile2 et MarsJoke[3] récemment documentées utilisaient le même botnet d'envoi de spam et des techniques de propagation similaires (faux messages électroniques liés au transport). Toutefois, alors que les campagnes CryptFile2 et MarsJoke ciblaient les administrations nationales et locales, la campagne Hades Locker actuelle vise elle les marchés verticaux des activités de services et de fabrication.
Campagnes d'e-mails
Le 4 octobre, Proofpoint détectait une campagne de messages électroniques associés au ransomware Hades Locker. Ces e-mails contenaient des adresses URL conduisant à un document Microsoft Word intitulé « levering-1478529.doc » (chiffres aléatoires ; le terme « levering » signifiant livraison en néerlandais), hébergé dans divers sites correspondant à des domaines récemment enregistrés, apparemment créés uniquement pour les besoins de cette campagne. Il s'agit là d'une rupture avec les campagnes par pièces jointes, plus fréquentes, que nous avons pu observer récemment avec un large éventail de logiciels malveillants, et notamment avec le ransomware Locky, largement diffusé, mais qui reprend la technique déjà observée lors de la campagne MarsJoke.
Figure 1 : Document téléchargeant la charge utile finale
Plutôt limitée (quelques centaines de messages), cette campagne ciblait essentiellement les marchés verticaux des activités de services et de fabrication d'Europe de l'ouest.
Analyse du ransomware Hades Locker
Pour alerter ses victimes et leur faire savoir que leurs fichiers sont désormais cryptés, ce ransomware crée et dissémine plusieurs types de fichiers dans leur système de fichiers, à l'instar de la plupart des autres types de ransomware :
- README_RECOVER_FILES_[16 chiffres].txt
- README_RECOVER_FILES_[16 chiffres].html
- README_RECOVER_FILES_[16 chiffres].png
Une nouvelle extension est ajoutée aux fichiers cryptés, par exemple « .~HL233XP », « .~HLJPK1L » ou « .~HL0XHSF ». Les quatre premiers caractères de la nouvelle extension, « .~HL », sont toujours les mêmes, tandis que les 5 caractères restants varient.
Figure 2 : Modification de l'extension des fichiers
Le message de rançon s'affiche sur le Bureau de la victime sous forme de fichiers texte et HTML et d'une image.
Figure 3 : Image de la demande de rançon dans Hades Locker
Figure 4 : Fichier texte de la demande de rançon Hades Locker
Figure 5 : Fichier HTML de la demande de rançon Hades Locker
Le message invite instamment la victime à « acheter le mot de passe de décryptage pour récupérer ses fichiers ». Pour ce faire, la victime est invitée à consulter une page Web ou un site « oignon ». Actuellement, le site de décryptage demande un bitcoin (600 USD au taux de change actuel) en échange de l'outil de décryptage.
Figure 6 : Page d'arrivée dans le site de décryptage d'Hades Locker
L'onglet « Helpdesk » (ou Assistance) permet à l'utilisateur d'envoyer un exemple de fichier crypté, contre la promesse des auteurs de l'attaque de le renvoyer décrypté dans les 24 heures. Le but est ici de prouver que le décryptage d'Hades Locker fonctionne et d'inciter les victimes à payer la rançon demandée.
Figure 7 : Onglet Helpdesk permettant de chatter avec les auteurs du logiciel malveillant
Pour finir, un « Didacticiel de décryptage » (Decryption Tutorial) est présenté à la victime, pour l'aider à exécuter l'outil de décryptage disponible après versement de la rançon. Nous ne savons pas si l'utilisateur obtient réellement cet outil.
Figure 8 : Onglet « Decryption Tutorial »
Similitudes avec le ransomware Locky
Par certains aspects, et au moins visuellement, Hades Locker semble imiter le ransomware Locky. La Figure 9 souligne par exemple les similitudes observées dans le message de rançon présenté à l'utilisateur.
Figure 9 : Similitudes entre les demandes de rançon d'Hades Locker (à gauche) et de Locky (à droite) L'image de demande de rançon du ransomware Locky présentée ici correspond à une ancienne version ; les versions suivantes sont légèrement plus sophistiquées.
Figure 10 : Similitudes dans les textes de demande de rançon, utilisés pour Hades Locker (à gauche) et Locky (à droite)
Nous n'avons pas vérifié s'il s'agissait d'une simple imitation, d'une réutilisation du même code ou d'un véritable lien entre ces deux variantes de ransomware.
Analyse du trafic réseau
Le logiciel malveillant commence par envoyer une requête à ip-api.com pour tenter d'identifier l'adresse IP externe, la région, le pays et l'opérateur réseau de la victime. Il tente ensuite de s'enregistrer auprès d'un serveur de commande et de contrôle (C&C) à travers l'un de ses domaines codés en dur.
Figure 11 : Observation du trafic Hades Locker pendant l'exécution du logiciel malveillant
Lors de l'enregistrement auprès du serveur C&C, nous avons pu observer que les valeurs de certains champs sont collectées, par exemple l'identifiant unique, l'identifiant de suivi (probablement un ID de campagne), le nom de l'utilisateur et de l'ordinateur, l'adresse IP externe et le pays de la victime (valeurs déterminées via l'appel à ip-api.com). Le serveur répond par un message d'état et un champ de mot de passe (« PASSWORD ») en texte clair. Nous pensons que ce mot de passe peut être utilisé pour le décryptage, et rend ce dernier inutile si la victime capture le trafic réseau.
Figure 12 : Enregistrement auprès du serveur C&C
Conclusion
Hades Locker est la dernière version des incessantes variantes de ransomware déjà observées sur le terrain. Il semble que le botnet Kelihos ait servi à transmettre les deux prédécesseurs de Hades Locker (Wildfire et Zyklon), ainsi que les campagnes CryptFile2 et MarsJoke récemment décrites. Le ransomware lui-même imite visuellement les versions précédentes de Locky, mais quelle que soit la filiation exacte des variantes, les rançons augmentent et les escrocs étudient de nouvelles méthodes de propagation, par exemple des liens vers un logiciel malveillant hébergé. Comme les ransomwares se banalisent peu à peu et que leurs variantes partagent fonctionnalités et apparence, nous continuons à surveiller l'évolution de ce marché et son impact sur les entreprises et les particuliers.
Références
- https://blog.kaspersky.com/wildfire-ransomware-decryptor/12828/
- http://garwarner.blogspot.com/2016/07/kelihos-botnet-delivering-dutch.html
- https://www.proofpoint.com/fr/threat-insight/post/MarsJoke-Ransomware-Mimics-CTB-Locker
Indicateurs de compromission (IOC)
IOC |
Type d'IOC |
Description |
hxxp://transportbedrijfvanetten[.]nl/downloads/levering-7834535.doc |
URL |
URL incluse dans l'e-mail |
hxxp://leursmatransport[.]nl/downloads/levering-1245789.doc |
URL |
URL incluse dans l'e-mail |
hxxp://transportbedrijfbrenninkmeijer[.]nl/downloads/levering-739176.doc |
URL |
URL incluse dans l'e-mail |
hxxp://breesmanstransport[.]nl/downloads/levering-1478529.doc |
URL |
URL incluse dans l'e-mail |
hxxp://185.45.193[.]169/update.exe |
URL |
Charge utile (Hades Locker) téléchargée par les documents |
37004c5019db04463248da8469952af8ed742ba00cfa440dd65b2d94d0856809 |
SHA256 |
Update.exe (Hades Locker) |
hxxp://pfmydcsjib[.]ru/config.php |
URL |
Hades Locker C2 |
hxxp://jdybchotfn[.]ru/config.php |
URL |
Hades Locker C2 |
Sélectionnez les signatures ET susceptibles de se déclencher sur un tel trafic :
2822388 || Enregistrement du ransomware TROJAN ETPRO MSIL/HadesLocker