Le développeur du code du rançongiciel AstraLocker aurait cessé ses opérations et s’est tourné vers l’art et le crime beaucoup plus simples du cryptojacking.
AstraLocker semble être une émanation du gang Babuk Locker ransomware-as-a-service, dont le code source a été divulgué l’année dernière. Les deux ont été identifiés en 2021. Le développeur d’AstraLocker a publié un Dossier compressé contenant des décrypteurs pour le rançongiciel AstraLocker via VirusTotal, que Bleeping Computer a dit sont légitimes.
La décision de fermer et de publier une sorte d’antidote intervient après que ReversingLabs a détaillé la semaine dernière la dernière version du ransomware – AstraLocker 2.0 – qui présentait des bizarreries intéressantes et au milieu des rapports selon lesquels Emsisoft travaille sur un décrypteur universel pour le malware Windows.
Dans le même temps, les gouvernements du monde entier, y compris les États-Unis, ont intensifié leurs efforts pour mettre fin à certaines opérations de ransomware et procéder à des arrestations alors que les campagnes de ransomware continuent de croître en nombre et en visibilité.
Au fur et à mesure que l’on accorde plus d’attention à AstraLocker, les opérateurs du méchant de brouillage de fichiers ont peut-être craint qu’ils ne fassent bientôt l’objet d’un examen officiel, alimentant leur décision d’arrêter les opérations. On dit que le fabricant du logiciel passe au cryptojacking, dans lequel les appareils compromis reçoivent discrètement l’instruction d’exploiter la crypto-monnaie pour les malfaiteurs au lieu de chiffrer les documents et d’exiger une rançon.
D’après ReversingLabs’ rédactionle rançongiciel AstraLocker 2.0 est distribué directement à partir de fichiers Microsoft Office que les victimes sont amenées à ouvrir.
Joseph Edwards, chercheur principal sur les logiciels malveillants chez ReversingLabs, a écrit que “la méthodologie d’attaque par smash and grab ainsi que d’autres fonctionnalités suggèrent que l’attaquant derrière ce logiciel malveillant est peu qualifié et cherche à provoquer des perturbations, par rapport à l’approche plus patiente, méthodique et mesurée. aux compromis utilisés par Babuk et d’autres ensembles de rançongiciels plus sophistiqués.”
L’approche utilisée avec AstraLocker 2.0 “souligne le risque posé aux organisations suite à des fuites de code comme celle affectant Babuk, car une grande population d’acteurs peu qualifiés et très motivés exploitent le code divulgué pour l’utiliser dans leurs propres attaques”, a ajouté Edwards.
Le code source de Babuk a été divulgué en septembre 2021 et ReversingLabs a déclaré que le code partagé et les marqueurs de campagne lient AstraLocker et Babuk. En outre, le chercheur a écrit qu’une adresse de portefeuille de crypto-monnaie Monero répertoriée par AstraLocker pour les paiements de rançon est liée au gang de rançongiciels Chaos.
Babuk est apparu au début de 2021 et était lié à un certain nombre d’infections très médiatisées, dont une en avril 2021 qui succès le département de la police métropolitaine de Washington DC. Le rançongiciel AstraLocker est apparu à peu près au même moment où le code de Babuk a été divulgué. AstraLocker 2.0 a été détecté en mars de cette année. Selon Edwards de ReversingLabs, la dernière version était inhabituelle dans la mesure où les attaquants ont envoyé un ransomware aux victimes immédiatement après avoir ouvert une pièce jointe malveillante qui était l’appât de la campagne.
“En règle générale, les acteurs de la menace affiliée évitent de pousser les ransomwares tôt, optant plutôt pour pousser des fichiers qui leur permettent d’étendre leur portée dans l’environnement cible”, a-t-il écrit. “Les rançongiciels sont presque invariablement déployés en dernier, après avoir compromis le ou les contrôleurs de domaine de la victime, ce qui permet aux cybercriminels d’utiliser le contrôleur de domaine (par exemple : Active Directory) pour déployer un objet de stratégie de groupe et chiffrer tous les hôtes des domaines concernés.”
Cependant, quelques clics sont nécessaires aux victimes qui ouvrent la pièce jointe malveillante pour exécuter le logiciel malveillant, car la charge utile est stockée dans un objet OLE (object linking and embedding). L’utilisateur doit double-cliquer sur l’icône dans le document et accepter d’exécuter un exécutable intégré nommé “WordDocumentDOC.exe”.
“Le fait d’exiger autant d’interaction de la part de l’utilisateur augmente les chances que les victimes réfléchissent à deux fois à ce qu’elles font”, a écrit Edwards. “C’est l’une des raisons pour lesquelles les objets OLE sont moins utilisés dans la diffusion de logiciels malveillants, par opposition à la méthode d’infection par macro VBA plus populaire, qui nécessite uniquement que l’utilisateur active les macros pour s’exécuter.”
D’autres aspects inhabituels d’AstraLocker 2.0 comprenaient l’utilisation de Safengine Shielden v2.4.0.0, un packer obsolète qui rendait les échantillons ReversingLabs difficiles à désosser, et l’utilisation de tactiques d’évasion telles que vérifier si l’hôte est une machine virtuelle. Le logiciel malveillant tente également de désactiver les applications susceptibles de bloquer ou d’interférer avec le processus de cryptage des données.
Edwards a noté que dans les attaques smash-and-grab lancées à la hâte, il est facile pour les cybercriminels de faire des erreurs. Dans le cas d’AstraLocker 2.0, l’attaquant “n’a aucun moyen de délivrer le décrypteur aux victimes même si une rançon est payée. Cela rend cette attaque à la fois imprudente et destructrice”, écrit-il.
L’impact de la sortie des opérateurs d’AstraLocker de la scène des ransomwares sur les victimes d’AtraLocker 2.0 reste incertain. Cependant, il n’est pas sans précédent que des groupes de rançongiciels proposent des clés de déchiffrement lors de l’arrêt des opérations. D’autres groupes, dont Ragnorak, FilesLocker, Crysis et Avaddon ont fait de même. ®
