Aleta ransomware rejoint la famille BTCWare (1/2)

24 Août 2017
Mickaël Ripoll, Consultant SSI
318
0

Contexte général sur les ransomwares

C’est un fléau qui ne cesse de torturer les entreprises françaises et dans le monde, les ransomwares sont de plus en plus nombreux, et n’attendent qu’une chose : prendre en otage les données de professionnels et particuliers pour demander une rançon. Locky, Cerber, Dharma, le célèbre WannaCry et bien d’autres ont déjà frappé, et de nouvelles familles font chaque jour leur apparition.

Mais peut-être devrions-nous faire un rappel sur ces ransomwares ?
Une des plus grandes menaces de l’année 2016 (ayant coûté 1 milliard de dollar américain d’après le « Midyear Cybersecurity report » de 2017 de l’entreprise américaine Cisco) est celle du ransomware de chiffrement.
Ces ransomwares sont des programmes, développés par des personnes mal intentionnées, dont le but est de chiffrer toutes les données jugées importantes sur une machine. Certains de ces logiciels sont capables de se propager sur le réseau d’une entreprise et de contaminer tous les postes de travail ainsi que les serveurs (de données, de messagerie, etc.).

Vous pourriez dire, et à juste titre, « mais ce n’est pas grave, j’ai un logiciel de chiffrement sur mon ordinateur qui chiffre aussi mes données pour les protéger, donc c’est positif un ransomware ! ». Et à cela, la réponse est non, ce n’est pas positif du tout un ransomware.
Avec votre logiciel de chiffrement, comme VeraCrypt, vous êtes l’unique personne possédant les clés pour chiffrer et déchiffrer vos données. Dans le cas d’un ransomware, vous n’êtes plus maître de rien tandis que le hacker, lui, a le contrôle de vos données !

À partir de cet instant, le hacker est la seule personne capable de vous rendre l’accès à vos données, car il possède la clé permettant le déchiffrement de vos photos, de vos documents, de vos fichiers d’entreprise, des fiches de salaire, des factures clients, etc. Tout de suite, c’est moins positif un ransomware non ?
Mais « pas de panique », le hacker acceptera peut-être de vous donner la clé de déchiffrement à la condition que vous lui transfériez de l’argent (généralement une crypto-monnaie, Bitcoin par exemple). Notez bien qu’il n’est pas conseillé de payer la rançon ; même si le hacker prouve qu’il est dans la capacité de déchiffrer vos fichiers (en déchiffrant deux fichiers gratuitement par exemple), rien ne vous assure qu’il vous donnera votre clé, ou qu’il n’a pas un accès persistent à votre machine pour recommencer l’infection plus tard ! Ce sont des criminels, des hors-la-loi, et il vaut mieux ne pas l’oublier.

Depuis la fin du mois de juin, nous avons vu apparaître un petit nouveau dans la famille des ransomwares, nommé Aleta. Nous allons revenir sur l’historique de ce ransomware dans la partie suivante.

Historique de la famille CrptXXX/BTCWare/Aleta

CRPTXXX

Le 17 mars 2017 est découvert par la MalwareHunter Team (@malwrhunterteam) un ransomware nommé CrptXXX (à ne pas confondre avec « CryptXXX » qui est un autre ransomware). Ce logiciel malveillant chiffre les données des victimes, puis y ajoute, après l’extension originale, une nouvelle extension : .crptxxx.

Ex. Une photo appelée vacances_plage.jpg deviendra après chiffrement vacances_plage.jpg.crptxxx.

L’infection d’un poste par ce ransomware peut se faire via le téléchargement d’une pièce jointe compromise suite à une campagne de phishing, par l’exécution d’un script malveillant lorsque certains sites web sont visités ou encore lors d’échanges d’informations sur les réseaux sociaux. Il est également possible de retrouver ce ransomware inclus dans des logiciels gratuits de service (VPN, récupérateur de fichiers, « accélérateur d’ordinateur », etc.).

BTCWARE

Le 24 mars 2017, une semaine après l’apparition du ransomware précédent, est découvert BTCWare. Ce dernier est très similaire à CrptXXX, c’est pour cela qu’ils sont tous deux considérés comme faisant partie de la même famille. BTCWare a un nom qui mélange les initiales du Bitcoin (BTC), qui est généralement la monnaie réclamée pour les rançons, et le suffixe « ware » de software ; il pourrait être traduit par « Bitcoingiciel ». BTCWare ajoute différentes extensions, selon la version du ransomware, aux fichiers chiffrés : .btcware, .cryptobyte, .cryptowin, .theva  .onyon, .gryphon ou encore .crypton (de nouvelles extension naissent régulièrement, changeant la clé utilisé mais pas l’algorithme).

Contrairement à la plupart des ransomwares, celui-ci ne se propage pas uniquement par campagne de phishing et pièces jointes compromises, mais aussi par compromission du RDP (Remote Desktop Protocol) exposé sur Internet. Notons qu’il n’y a pas lieu d’exposer un RDP sur Internet, à moins que son accès soit restreint par filtrage (adresse IP, etc.).

RDP est un protocole permettant à un administrateur de se connecter sur un serveur Microsoft Windows exécutant le composant Terminal Services.

En effet, une attaque par force brute permettrait aux attaquants de s’introduire sur les serveurs via le RDP si les identifiants ne sont pas complexes (Ex. un identifiant « Administrateur » ou « Administrator » avec un mot de passe issu d’une liste) ; la compromission du serveur permet ensuite de déployer le ransomware sur celui-ci et sur tous les ordinateurs des utilisateurs établissant une connexion via RDP au serveur compromis.

Le schéma ci-dessous illustre les deux vecteurs d’infection possible de BTCWare. Le premier par compromission du RDP, exposé sur Internet, et le second par phishing (ou hameçonnage).

Légende :

BTCWare est aussi capable d’infecter une machine par le biais de faux logiciels de service. L’un des plus populaires est Rogers Hi-Speed Internet qui a été conçu pour propager BTCWare après son installation ; le logiciel fait office de Trojan (i.e. Cheval de Troie) pour camoufler la présence du ransomware.

Le 3 mai 2017, un utilisateur a révélé sur le forum de BleepingComputer la « master key » pour déchiffrer les fichiers de toutes les victimes de BTCWare. À l’heure actuelle, il n’est pas possible de déterminer si cet utilisateur est l’un des auteurs du ransomware ou un proche de ces derniers.
Cette « master key » permet de déchiffrer l’identifiant fourni aux victimes, le rendant clair sous la forme : MEDIA-AESPASSWORD-DATE. Dans cet identifiant, il est possible de récupérer la partie AESPASSWORD pour déchiffrer les données de la victime.

ALETA

Pas de date précise ici ; nous savons juste qu’Aleta est un ransomware qui a commencé à sévir fin juin, début juillet. Il est donc très récent et assez peu d’informations sont disponibles à son sujet. Il semblerait que les rançons demandées ici soient plus importantes, aux alentours des 2 BTC tandis que les deux précédents ransomwares demandent des rançons aux alentours des 0.5 BTC. Cette différence est d’autant plus grande car le cours du Bitcoin a grandement évolué entre mars et aujourd’hui (1 BTC = 3 222€ au 22/08/2017), avec pour mises en cause les cyberattaques WannaCry (ransomware), Adylkuzz (cryptomining malware) et NotPetya (wiper malware).

Le principe est le même que BTCWare ; la seule différence ici se ferait uniquement sur la paire de clés, et leur taille, utilisée par les attaquants (dont l’une est la « master key »).

Nota Bene : BTCWare utilise des clés AES-192 bits tandis qu’Aleta utilise des clés AES-256 bits.

Ceci termine la première partie de l’article consacré à Aleta Ransomware ! Après avoir mis en exergue les généralités concernant les ransomwares et les spécificités de la famille BTCWare, nous attaquerons le chiffrement des ransomwares : comment cela fonctionne et pourquoi les cybercriminels sont les seuls à pouvoir restituer les données des victimes ? Restez connectés !

Pour aller plus loin …

Nous vous invitons à consulter les liens suivants si l’anglais ne vous pose aucun problème, permettant d’effectuer un début de veille sur cette famille de ransomware et ces derniers de manière générale :

BleepingComputer – BTCWare ransomware master key released, free decrypter available : création d’un outil de déchiffrement pour BTCWare par BleepingComputer ;

Naked Security (by Sophos) – TeslaCrypt ransomware gang reveals master key to decrypt files : raisons pouvant pousser les hackers à dévoiler la « master key ».