Recherche

LockFile : ce ransomware au chiffrement discret

Sophos attire l'attention sur LockFile. Ciblant les serveurs Exchange, ce ransomware se distingue par sa technique de chiffrement intermittent.

Publié par Clément Bohic le | Mis à jour le
Lecture
2 min
  • Imprimer
LockFile : ce ransomware au chiffrement discret

Des ransomwares qui chiffrent partiellement les fichiers ? On en a connu. Par exemple LockBit, qui a notamment touché Accenture. Ou DarkSide, utilisé contre Colonial Pipeline. On retrouve la technique chez LockFile, qui a émergé cet été. Mais avec un complément : du chiffrement par intermittence. En l'occurrence, un bloc de 16 octets sur deux.

Ce procédé permet de déjouer certaines méthodes d'analyse statique. Parmi elles, celle du khi-deux (?²). Les signatures ci-dessous en témoignent.

LockFile ne dépend pas d'un serveur de commande. Il semble cibler les serveurs Exchanges en exploitant la faille ProxyShell, assortie d'un relais NTLM (via PetitPotam).

Comme Maze, le ransomware chiffre en mémoire cache. Dans une certaine mesure, cela constitue une autre technique d'évasion. D'une part, en minimisant les I/O disque. De l'autre, en laissant le soin à l'OS - et non pas au processus malveillant - d'écrire les fichiers chiffrés.

Parmi les autres éléments susceptibles de contourner les solutions de sécurité :

  • Binaire doublement empaqueté
  • Création d'un mutex pour éviter les exécutions parallèles
  • Recours à WMI pour tuer certains processus (liés en particulier à la virtualisation et aux bases de données)

La note de rançon n'est pas au format texte, mais HTA (application HTML).

Photo d'illustration © kras99 - Adobe Stock

Livres Blancs #workspace

Voir tous les livres blancs
S'abonner
au magazine
Se connecter
Retour haut de page