Le ransomware Sodinokibi utilise maintenant un ancien zero-day Windows

1
173

Le rançongiciel Sodinokibi continue d’évoluer et montre pourquoi il est considéré comme la prochaine grande menace sur la scène mondiale des ransomwares.

Des chercheurs en sécurité de Kaspersky Lab ont récemment découvert une variante du ransomware Sodinokibi (qui peut aussi être dénommé Sodin ou REvil) se basant sur une ancienne vulnérabilité « zero-day » de Windows pour s’approprier les privilèges administrateur sur les hôtes infectés.

La vulnérabilité Windows en question est une faille de type élévation de privilèges référencée sous le code CVE-2018-8453, qui avait été corrigée par Microsoft via une mise à jour de sécurité datant d’octobre 2018, après avoir été exploitée quelques mois par le groupe de cybercriminels étatique FruityArmor durant l’été 2018. Cette nouvelle variante basée sur cette ancienne vulnérabilité zero-day démontre clairement que les cybercriminels industrialisent les ransomwares aux quotidien, n’hésitant plus à y intégrer des méthodes d’exploitation autrefois réservées à des groupes étatiques. Soulignons qu’il s’agit d’un fait rare, surtout pour un ransomware (ce type d’ancienne faille étant généralement intégrée dans des kits d’exploitation avancés vendu à prix d’or sur le darknet).

En outre, les chercheurs ont également formulé diverses observations sur le modus operandi de Sodinokibi, notamment son utilisation de l’ancienne technique Heaven’s Gate permettant de contourner les solutions de sécurité telles que les pare-feu et les programmes antivirus. Mais la découverte la plus intéressante a été la découverte d’une “clé maîtresse” dans le code de Sodinokibi, qui sert de porte dérobée au processus de chiffrement, et permettant au créateur de Sodinokibi de déchiffrer n’importe quel fichier victime du malware, quelles que soient les clés de chiffrement publiques et privées utilisées pour le verrouillage des données d’une victime !

Ce type de mécanisme suggère que Sodinokibi est distribué via un système Raas (ransomware-as-a-service), plutôt que directement distribué par son ou ses créateurs. Il s’agit clairement d’un modèle de business lucratif de grande ampleur.

La montée en puissance de Sodinokibi intervient au moment même où le ransomware GandCrab avait officiellement arrêté toutes ses opérations le mois dernier. GandCrab était de loin la campagne de ransomware la plus active sur Internet, non seulement cette année, mais également en 2018. Certains membres de la communauté infosec considèrent maintenant Sodinokibi comme l’héritier direct de GandCrab, voir une évolution directe créée par les même développeurs…

En effet, les chercheurs en sécurité de Tesorion ont mis en évidence les similitudes entre le code de GandCrab et celui de Sodinokibi. De plus, le rapport Cisco Talos qui décrit le fonctionnement du logiciel rançongiciel Sodinokibi indiquait que les cyber-escrocs déployaient d’abord Sodinokibi sur des hôtes infectés, puis exécutaient GandCrab, à titre de solution de secours, pour s’assurer que les données de la victime étaient infectées, au cas où Sodinokibi échouerait. Encore un indice, un acteur malveillant a infecté massivement des milliers de machines par le biais de piratages des MSP en février afin de déployer le ransomware GandCrab. Or, au mois de juin, la même chose s’est produite à nouveau, mais cette fois-ci, les pirates ont déployé Sodinokibi. Pour finir, les efforts de distribution derrière Sodinokibi se sont intensifiés après la disparition de GandCrab. Sodinokibi a été distribué via des campagnes actives de spam, des kits d’exploitation et des MSP piratés, à l’instar du GandCrab.

Il est donc possible que l’hypothèse que Sodinokibi soit le remplaçant direct de GandCrab se révèle juste. On peut très bien imaginer que les cybercriminels à l’origine des malwares cités continuent de vendre le ransomware en mode RaaS à une clientèle privée triée sur le volet et non plus publiquement.

 

Source : ZDNET

Les commentaires sont fermés.