Wiping et obfuscation: le ransomware LokiLocker étoffe ses armes

Les chercheurs mettent en garde contre une évolution du ransomware baptisé LokiLocker qui, depuis le mois d'août, est de plus en plus utilisé par les cybercriminels. Le programme malveillant utilise une technique d'obfuscation de code relativement rare et comprend un composant d'effacement de fichiers que les attaquants pourraient utiliser contre certains types de victimes. « Cette famille de ransomware relativement nouvelle cible les victimes anglophones et les PC Windows. La menace a été observée pour la première fois dans la nature à la mi-août 2021 », ont déclaré les chercheurs de l'équipe de recherche et d’intelligence de BlackBerry dans un dernier rapport. « Il ne faut pas confondre LokiLocker avec une famille de ransomware plus ancienne appelée Locky, qui a acquis une certaine notoriété en 2016, ni avec l’infostealer LokiBot qui vole des données sensibles. Il partage certaines similitudes avec le ransomware LockBit (valeurs de registre, fichier de demande de rançon), mais il ne semble pas être son descendant direct ».

Jusqu'à présent, il semble que l'offre de ransomware-as-a-service (RaaS) de LokiLocker ait été partagée avec un petit nombre d'affiliés soigneusement contrôlés - des individus ou des groupes de cybercriminels qui se chargent du déploiement du ransomware contre un pourcentage prélevé sur la rançon. Les chercheurs de BlackBerry estiment que LokiLocker compte actuellement une trentaine d'affiliés.

Des capacités techniques avancées

LokiLocker est écrit dans le langage de programmation .NET, mais son code est obscurci par une version modifiée de ConfuserEX combinée à KoiVM, deux logiciels open source de protection du code pour les applications .NET. L'objectif des deux programmes est de rendre l'ingénierie inverse plus difficile afin de protéger le code source propriétaire des applications commerciales, mais les auteurs de malwares utilisent parfois ces programmes pour éviter d'être détectés par les solutions de sécurité et les chercheurs. « L'utilisation par LokiLocker de KoiVM comme protecteur de virtualisation pour les applications .NET est très inhabituelle pour compliquer l'analyse », ont déclaré les chercheurs. « Nous n'avons pas encore vu beaucoup d'autres acteurs de la menace utiliser cette méthode qui inaugure peut-être une nouvelle modalité d’attaque ».

Quand il est exécuté pour la première fois sur un ordinateur, LokiLocker se copie sous le nom de %ProgramData%/winlogon.exe. Ensuite, il met en place une persistance en utilisant une tâche planifiée et des entrées de registre de démarrage. Le malware dispose d'un fichier de configuration que les affiliés peuvent personnaliser et qui peut être utilisé pour donner des instructions au malware pour :

- Afficher un faux écran de mise à jour de Windows ;
- Tuer des processus spécifiques et arrêter des services système spécifiques ;
- Désactiver le gestionnaire de tâches Windows Task Manager ;
- Supprimer les sauvegardes du système et les copies Shadow Volume, une fonctionnalité de Windows qui sert à créer des instantanés des volumes de disque ;
- Désactiver la récupération d'erreurs Windows Error Recovery et le pare-feu Windows Firewall ;
- Supprimer les points de restauration du système ;
- Vider la corbeille ;
- Désactiver Windows Defender ;
- Modifier le message affiché sur l'écran de connexion de l'utilisateur.

Une fonction pour chiffrer les partages réseau

Le programme malveillant collecte ensuite des informations sur le système infecté et les envoie à une URL de serveur de commande et de contrôle codée en dur, lequel renvoie une clé RSA publique qui sera utilisée pour chiffrer la paire de clés publique-privée générée par le ransomware pour chaque victime. La clé RSA publique de la victime est ensuite utilisée pour crypter la clé de cryptage de fichier AES générée de manière aléatoire. Si la communication avec le serveur est impossible, le binaire du ransomware contient cinq clés RSA publiques codées en dur qui peuvent être utilisées à la place. Seuls les attaquants disposent de la clé privée RSA qui décryptera la clé privée RSA de la victime qui à son tour décryptera la clé AES nécessaire au décryptage du fichier. « Au moment de la rédaction de ce rapport, il n'existait pas d'outil gratuit pour décrypter les fichiers chiffrés par LokiLocker », indiquent les chercheurs de BlackBerry. « Si vous avez déjà été infecté par le ransomware LokiLocker, la recommandation de la plupart des autorités officielles de sécurité, comme le FBI, est de ne pas payer la rançon », ajoutent les chercheurs.

LokiLocker commencera à chiffrer les fichiers dans les répertoires suivants : Favoris, Récent, Bureau, Personnel, MesPhotos, MesVidéos et MaMusique. Il procédera ensuite au chiffrement des fichiers sur tous les lecteurs locaux, mais cela dépend de la configuration de l'affilié. Certaines options permettent de ne crypter que le lecteur C, ou d'ignorer ce dernier. Le malware dispose également d'une fonctionnalité d'analyse du réseau, qui peut être utilisée pour détecter et crypter les partages réseau, mais l'utilisation de cette fonctionnalité est également configurable. Enfin, LokiLocker contient un module d'effacement qui tente de supprimer les fichiers de tous les lecteurs locaux, puis d'écraser le Master Boot Record (MBR) du disque dur, ce qui rend le système incapable de démarrer le système d'exploitation. À la place, l'utilisateur verra un message disant : « Vous ne nous avez pas payé, nous avons donc supprimé tous vos fichiers ». La fonctionnalité d'effacement se déclenche automatiquement sur la base d'une minuterie réglée sur 30 jours, mais configurable.

Ces dernières années, plusieurs incidents impliquant des logiciels malveillants d'effacement de fichiers ont été constatés, notamment en Ukraine récemment. Si certains de ces programmes malveillants se sont fait passer pour des ransomwares pour faire diversion, il n'est pas courant que de véritables ransomwares soient intégrés à cette fonctionnalité. L'utilité de ce mécanisme de revanche basé sur une minuterie est discutable, car la victime saura qu'elle a été touchée par un ransomware et la première étape d'une réponse à un incident de ransomware consiste à neutraliser la menace, puis à décider de négocier ou non le déchiffrement des fichiers.

Faire porter le chapeau à l'Iran ?

L'identité des auteurs de LokiLocker n'est pas claire, mais les chercheurs de BlackBerry ont remarqué que les chaînes de débogage trouvées dans le malware sont écrites en anglais, sans aucune faute d'orthographe majeure, ce qui est parfois courant chez les développeurs de malware russes ou chinois. En revanche, il y a quelques liens potentiels avec l'Iran, mais il n’est pas impossible qu’ils aient été ajoutés pour tromper les chercheurs. Le malware contient la chaîne « Iran » dans une routine potentiellement destinée à définir les pays qui doivent être exclus du cryptage des fichiers, ce qui est une approche courante pour certains créateurs de ransomware. Cependant, cette fonctionnalité ne semble pas encore être implémentée.

Certains des premiers échantillons de LokiLocker ont été distribués en tant que version trojanisée d'outils de vérification d'identité par force brute comme PayPal BruteChecker, Spotify BruteChecker, PiaVPN Brute Checker et FPSN Checker. Quelques uns de ces outils - et non leurs versions trojanisées - ont été créés par une équipe de pirates iraniens appelée AccountCrack. De plus, trois affiliés de LokiLocker au moins portent des noms d'utilisateur que l'on retrouve également sur des forums de piratage iraniens. « On ne sait pas très bien si cela signifie qu'ils proviennent vraiment d'Iran ou si les véritables acteurs de la menace essaient de rejeter la faute sur les attaquants iraniens », ont déclaré les chercheurs de BlackBerry. « Avec les truqueurs et les acteurs de la menace, il peut être difficile de faire la différence entre un indice significatif et une fausse bannière, et l’on ne peut jamais être sûr du niveau de supercherie de ces acteurs ».