Il vient tout droit du darknet, voici Spora, un nouveau rançongiciel

Il vient tout droit du darknet, voici Spora, un nouveau rançongiciel

Les rançongiciels sont une menace toujours plus présente avec de nouvelles familles faisant leur apparition toutes les semaines. Les chercheurs d’Emsisoft sont souvent impliqués dans la découverte et l’analyse de nouvelles menaces, et celui-ci ne déroge pas à a règle. Découvert à l’origine sur ID-Ransomware plus tôt aujourd’hui, il a attiré notre attention car il présente des caractéristiques uniques et un niveau de sophistication professionnelle élevé autant du point de vue de son implémentation que de sa présentation. Nous ne nous attarderons pas sur les mécanismes internes de Spora, mais allons vous présenter son modèle commercial des plus sophistiqués et vous indiquer comment vous protéger contre cette dernière famille de rançongiciels.

Découvrez Spora

Le code de Spora est écrit en C et il est compressé sous forme de fichier UPX exécutable. Contrairement à de nombreuses familles de rançongiciels, Spora ne renomme pas les fichiers qu’il chiffre, ainsi il n’existe aucune extension associée à ce rançongiciel. Quand un système est corrompu, il dépose gentiment une demande de rançon au format HTML ainsi qu’un fichier .KEY. La racine du nom des deux fichiers est identique à l’identifiant unique que le rançongiciel assigne à chaque utilisateur. La demande de rançon est écrite en russe :

Demande de rançon en russe

Demande de rançon traduire en anglais

 

Si vous cliquez sur le gros bouton renseignant votre identifiant, vous serez redirigé vers le site Web des créateurs du rançongiciel :

Site vers lequel les utilisateurs sont redirigés après avoir cliqué sur la demande de rançon.

Version anglaise du site sur lequel payer la rançon.

Deux choses ont principalement attiré notre attention : Tout d’abord, la présentation et l’interface présentent toutes deux un look professionnel, presque attrayant. Ensuite, contrairement à d’autres rançongiciels, le montant demandé de la rançon semble assez faible ; nous vous en expliquerons les raisons dans quelques lignes. Enfin, il est également intéressant de voir les différentes “formules” que propose le rançongiciel à ses victimes. Vous pouvez choisir de ne récupérer que vos fichiers ou de payer pour la suppression du rançongiciel et une immunité totale contre toute attaque future en payant un coût supplémentaire. Cette offre est unique au rançongiciel Spora, nous n’avons jamais rien vu de tel auparavant. Le site propose également un système de messagerie vous permettant de communiquer avec ces cybercriminels, ce qui, bien qu’occasionnel, est somme toute singulier. Nous avons pu constater jusqu’à présent que les auteurs du rançongiciels sont assez réactifs et répondent en temps opportun.

Comment un utilisateur peut-il tomber sous le coup du rançongiciel Spora ?

Pour l’instant, Spora semble viser principalement les utilisateurs russes via l’envoi d’e-mails se faisant passer pour des factures émanant de 1C, un logiciel de comptabilité populaire en Russie et dans de nombreux pays de l’ex-URSS. Le nom actuel du fichier semble être “Скан-копия _ 10 января 2017г. Составлено и подписано главным бухгалтером. Экспорт из 1С.a01e743_рdf.hta”, ce qui signifie “Copie-scannée_ 10 jan 2017. Rédigé et signé par le chef comptable. Exporté de 1C.a01e743_pdf.hta”. Il utilise une double extension afin d’induire en erreur les victimes, leur faisant penser qu’il ne s’agit que d’une facture PDF banale, alors qu’il s’agit en fait d’un fichier HTA.

Les fichiers HTA sont des applications principalement basées sur le HTML. Les applications HTML permettent à qui le souhaite de concevoir des applications de bureau au format HTML et, si besoin, d’autres langages de code. Imaginez votre navigateur, mais sans les mécanismes de sécurité qui empêchent un site Web de modifier tout élément de votre système. Les deux langages de code pris en charge par les applications HTML sous Windows sont JScript et VBScript, tous deux utilisés dans Spora.

Quand l’utilisateur double-clique sur le fichier HTA, un nouveau fichier est créé dans %TEMP% appelé close.js, qui lancera l’écriture d’un script chiffré dans ledit fichier. Enfin, le fichier JScript sera exécuté :

Contenu du téléchargeur HTA

Le fichier JScript est chiffré et obscurci afin de ne pas être détecté, par le biais d’algorithmes personnalisés et de CryptoJS. Si vous arriviez à enlever l’obscurcissement, vous pourriez constater une longue chaîne chiffrée BASE64, contenant le fichier exécutable du logiciel malveillant. Le script a pour but de décoder ladite chaîne et de déposer deux fichiers dans le dossier %TEMP% de l’utilisateur :

  • doc_6d518e.docx
  • 81063163ded.exe

Après, l’injecteur JScript tentera d’ouvrir et d’exécuter les deux fichiers avant d’abandonner. Le premier document est un fichier ne comportant que des données non valides, entraînant une erreur de Bloc-notes ou Word à chaque tentative d’ouverture :

Faux document corrompu

Nous sommes amenés à penser que ce comportement est intentionnel, suggérant ainsi que le document auquel s’attend l’utilisateur n’est pas disponible ou a été endommagé au cours du transfert. L’affichage d’un tel document corrompu fait également que l’utilisateur ne se rend pas forcément compte qu’il vient d’exécuter un fichier HTA malveillant. Le deuxième fichier est le vrai rançongiciel qui chiffre les données.

Chiffrement et création de clé Spora

Spora utilise une combinaison de RSA et AES pour chiffrer les données des victimes. Pour faciliter le chiffrement sur un système, on constate que Windows CryptoAPI est utilisé. Quand Spora débarque sur un ordinateur, il débusque et déchiffre la clé RSA publique du créateur du logiciel malveillant incorporé au fichier exécutable dudit programme en utilisant une clé AES codée de manière irréversible. Une fois la clé RSA publique importée, le logiciel malveillant continuera de créer une paire de clés RSA 1 024 bits, que nous appellerons la paire de clés RSA de la victime, comprenant une clé publique et une privée. Il créera également une clé AES 256 bits pour chiffrer la clé RSA privée de la victime. Une fois cette dernière chiffrée, la clé AES utilisée sera elle-même chiffrée par le biais de la clé RSA publique de l’auteur du logiciel malveillant. Le matériel de chiffrement des clés ainsi que d’autres informations seront ensuite enregistrés dans un fichier .KEY.

Pour chiffrer un document ou un fichier sur un système, Spora générera d’abord une nouvelle clé AES 256 bits par fichier. Cette clé par fichier servira à chiffrer les 5 premiers Mo du fichier. Le chiffrement terminé, le programme malveillant chiffrera la clé par fichier à l’aide de la clé RSA publique de la victime, avant d’attacher la clé RSA par fichier désormais chiffrée au fichier lui-même chiffré.

Cette procédure peut sembler au premier abord complexe, toutefois elle permet essentiellement à l’auteur malveillant d’opérer sans serveur de commande et contrôle, avec lequel le logiciel malveillant aurait besoin de communiquer lors de l’infection, et qui pourrait tomber en panne ou être arrêté. Cela signifie également que Spora est capable de chiffrer un système sans connexion Internet. Il passe outre également les faiblesses d’autres familles de rançongiciels comme DMA Locker 3, chez lesquels la clé publique de l’auteur était utilisée pour chiffrer directement les clés par fichier. Ainsi, le déchiffreur conçu pour aider une victime pouvait servir à aider toutes les autres victimes de la campagne malveillante.

Malheureusement, après évaluation de la façon dont Spora procède au chiffrement, il n’existe aucun moyen de restaurer les fichiers chiffrés sans accéder à la clé privée de l’auteur malveillant.

Dites-moi qui vous êtes et je vous dirai combien payer

Comme mentionné précédemment, Spora est unique de bien des façons. Non seulement les procédures de chiffrement sont excellentes dès la première version du rançongiciel, ce qui, dans le monde des rançongiciels est à noter — bien que ce ne soit pas forcément un problème, rappelez-vous des campagnes malveillantes et pourtant professionnelles comme Cerber présentant d’importants gouffres de sécurité à leurs premières versions — mais le rançongiciel propose également un modèle tarifaire unique permettant de déterminer combien une victime doit payer.

Nous l’avons dit quelques lignes plus haut, le fichier .KEY créé par le rançongiciel contient non seulement la clé RSA privée de la victime, mais également des informations complémentaires :

Contenu non chiffré des fichiers .KEY

La clé RSA privée est visible immédiatement, et nous en avons souligné l’importance ci-dessus. Toutefois, nous souhaitons attirer votre attention sur les informations complémentaires en fin de fichier. La clé RSA privée est suivie de la date à laquelle l’infection a eu lieu, le nom d’utilisateur de la victime et les paramètres régionaux du système corrompu. La valeur suivante est l’identifiant chiffré de manière irréversible, le même pour toutes les victimes infectées par le même échantillon de Spora que nous avons analysé. Nous sommes relativement sûrs qu’il est utilisé comme identifiant de campagne dans le but d’évaluer l’efficacité de différentes campagnes, et ainsi potentiellement payer des dividendes aux affiliés responsables de la diffusion desdites campagnes. Tout semble indiquer que Spora est proposé comme “rançongiciel en tant que service”.

Les six valeurs numériques suivantes sont tout particulièrement intéressantes. Lors du choix des cibles à chiffrer, Spora les répartit en 6 catégories selon l’extension des fichiers :

Catégories de type de fichiers selon Spora

Les statistiques sont ensuite reprises dans le fichier .KEY comme partie intégrante des six valeurs numériques. De plus, ces statistiques détermineront le montant de la rançon. Nous avions déjà vu de telles structures tarifaires selon les victimes auparavant lors d’attaques ciblées via RDP et au cours desquelles les attaquants vérifient à qui appartient le serveur et quels sont les fichiers renfermés avant de lancer le chiffrement. Toutefois, Spora passe à la vitesse supérieure non seulement en rendant de telles tactiques accessibles au public, mais en en automatisant entièrement le processus. Cela explique également pourquoi le montant de la rançon demandé lors du test sur nos systèmes était si bas, vu que ces derniers ne présentent quasiment aucun fichier de valeur aux yeux des cybercriminels.

En outre, le contenu du bloc .KEY et les statistiques sont utilisés pour créer l’identifiant que l’utilisateur doit saisir lorsqu’il accède à l’écran de demande de rançon pour la première fois. Un identifiant type ressemble à ceci :

US741-85RZR-TRTZT-ZTFFT-ZYYYY

Les identifiants de Spora seront toujours présentés sous forme de blocs de 5 caractères, séparés par des tirets. Les deux premiers caractères (US) sont les deux lettres du code pays des paramètres régionaux du système. Les 5 caractères suivants (74185) correspondent aux cinq premiers caractères du hachage MD5 calculé selon le contenu non chiffré du fichier .KEY. Les lettres suivantes (RZRTRTZTZTFFTZ) forment la chaîne statistique du fichier .KEY, chiffré à l’aide d’un chiffrement simple de substitution. Les symboles (|) sont remplacés par des “T”. Découvrez les autres substitutions dans le fragment de code suivant :

Table de substitution utilisée par Spora pour chiffrer les statistiques dans l'identifiant de l'utilisateur

Table de substitution utilisée par Spora pour chiffrer les statistiques dans l’identifiant de l’utilisateur

Si le dernier bloc ne compte pas 5 caractères, il regorge par contre de lettres Y. Sur base de cette information, il est possible de déduire le nombre de fichiers chiffrés par Spora sur base uniquement de l’identifiant. Nous collaborons étroitement avec d’autres plateformes d’assistance comme ID Ransomware et No More Ransom pour tenter de regrouper des statistiques sur base des identifiants contenus dans les demandes de rançon téléchargées.

Comment me protéger de Spora ?

Comme nous vous l’expliquions dans notre article sur les rançongiciels, la meilleure des protections est sans conteste une stratégie sûre et fiable de sauvegarde, notamment quand l’on constate que le chiffrement utilisé par Spora est sécurisé, et que la seule façon de récupérer vos données est de vous faire aider de l’auteur du rançongiciel. Outre des sauvegardes régulières, vous serez ravis d’entendre que la technologie Analyse de comportement présente dans l’Emsisoft Anti-Malware et l’Emsisoft Internet Security est votre deuxième meilleure ligne de défense, car elle a pris dans ses filets le rançongiciel avant qu’il ne puisse être exécuté, protégeant une fois encore nos utilisateurs de ce programme malveillant et de bien d’autres familles de rançongiciels sans recourir aux signatures.

Les utilisateurs de l’Emsisoft Anti-Malware et de l’Emsisoft Internet Security sont protégés contre Spora et d’autres familles de rançongiciels par Analyse de comportement avant que JScript ou un autre fichier exécutable soit utilisé.

Nous considérons les rançongiciels comme la menace la plus importante de l’année dernière et continuons à faire tout notre possible pour maintenir le niveau d’excellence en matière de lutte contre ces logiciels malveillants, comme nous l’avons fait au cours de l’année passée, afin de protéger au mieux nos utilisateurs.