Les cyberpirates auraient-ils trouvé un moyen d'action imparable pour disséminer des ransomwares ? C'est la question que l'on peut se poser avec la découverte par Sophos, presque 4 mois après Ragnar Locker, du rançongiciel Maze ayant utilisé une technique similaire de dissimulation. Cette dernière consiste à camoufler le logiciel malveillant dans une machine virtuelle afin de mieux tromper la vigilance et la détection par des solutions de sécurité classiques. Maze est loin d'être un inconnu dans le monde des rançongiciels, ayant déjà fait parler lui pour s'être attaqué à Bouygues Construction, Leon Grosse, LG, Xerox et CanonSK Hynix ou encore Cognizant.

« Lors de l'incident Maze, les acteurs de la menace ont distribué la charge utile de chiffrement de fichier du ransomware sur le disque dur virtuel de la machine virtuelle (un fichier d'image de disque virtuel VirtualBox .vdi), qui a été livré dans un fichier d'installation Windows .msi de plus de 700 Mo en taille », explique Sophos dans un billet. « Les attaquants ont également regroupé une copie épurée, vieille de 11 ans, de l'hyperviseur VirtualBox dans le fichier .msi, qui exécute la VM comme un terminal non déterminé, sans interface utilisateur. » Contrairement à ce qui s'est passé dans le cas de la cyberattaque ayant visé le géant de l'énergie portugais EDP avec Ragnar Locker, la charge malveillante a été déployée dans une machine virtuelle sous Windows 7.

Une cyberattaque soigneusement préparée

Cette nouvelle technique de dissimulation a été découverte dans le cadre d'une enquête menée par Sophos en juillet dernier suite à une tentative d'infections de systèmes contre une organisation dont le nom n'a pas été précisée. Compte-tenu du montant de la rançon, 15 millions de dollars, nul doute qu'il s'agisse d'un très grand organisme, les cyberpirates prenant soin d'adapter le prix demandé à leur cible afin d'avoir plus de chance qu'elle leur soit versée. « L'enquête a également révélé plusieurs scripts d'installation qui ont révélé les tactiques des attaquants et ont révélé qu'ils avaient passé des jours à se préparer à lancer le ransomware en créant des listes d'adresses IP à l'intérieur du réseau de la cible, en utilisant l'un des serveurs de contrôleur de domaine de la cible et en exfiltrant données au fournisseur de stockage cloud Mega.nz », précise Sophos.

D'après le fournisseur en sécurité, les attaquants ont réalisé trois essais pour réussir leur coup. Les deux premiers, qui ont échoué, ont consisté à lancer des fichiers exécutables de ransomware en utiliser les tâches planifiées Windows Update Security et Windows Update Security Patches, ou encore Google Chrome Security Update. La troisième tentative a été la bonne avec le déploiement d'un fichier MSI contenant un installeur 32 et 64bits pour VirtualBox 3.0.4 ainsi qu'un disque virtuel non compressé d'1,9 Go baptisé micro.vdi contenant lui-même une partition bootable de Windows 7 SPI et un nom de fichier micro.xml contenant les informations de session et de configuration du disque dur virtuel. A sa racine, Sophos a trouvé qu'il contenait trois fichiers associés au ransomware Maze (preload.bat, vrun.ex et payload). 

Une connaissance amont du réseau de la victime

« La machine virtuelle a apparemment été configurée à l'avance par quelqu'un qui savait quelque chose sur le réseau de la victime, car son fichier de configuration (« micro.xml ») mappe deux lettres de lecteur qui sont utilisées comme lecteurs réseau partagés dans cette organisation particulière, vraisemblablement ainsi peut crypter les fichiers sur ces partages ainsi que sur la machine locale. Il crée également un dossier dans C: \ SDRSMLINK \ et partage ce dossier avec le reste du réseau », explique Sophos. « À un moment donné (on ne sait pas quand et comment, exactement, cela a été accompli), le logiciel malveillant a écrit également un fichier nommé startup_vrun.bat. Nous avons trouvé ce fichier dans c: \ users \ Administrator \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Startup, ce qui signifie qu'il s'agit d'un mécanisme de persistance qui repose sur le redémarrage de l'ordinateur avant que les attaquants ne lancent le malware. » Après avoir copié les trois mêmes fichiers trouvés à la racine du disque de la machine virtuelle sur d'autres disques, le script a permis d'émettre une commande pour arrêter l'ordinateur immédiatement. Une fois la machine rallumée par une personne, le script vrun.exe s'est exécuté avec pour conséquence le début des soucis.