L’acteur de la menace derrière le cheval de Troie Dridex a publié un nouveau ransomware après des mois de développement, révèlent des chercheurs de Fox-IT (faisant partie du groupe NCC).

Appelé Evil Corp, l’acteur de la menace est principalement connu pour les attaques impliquant le cheval de Troie bancaire Dridex et le ransomware Locky, mais a également utilisé d’autres logiciels malveillants, y compris des familles de ransomware telles que Bart, Jaff et BitPaymer.

Surnommé WastedLocker, le nouveau ransomware est utilisé depuis mai 2020 et présente quelques similitudes avec BitPaymer, comme l’utilisation d’une abréviation du nom de la victime lors de la création de noms de fichiers ou la présence du nom de la victime dans la note de rançon.

Le groupe semble sélectionner soigneusement les victimes avant de déployer le rançongiciel et préférer les serveurs de fichiers, les services de base de données, les machines virtuelles et les environnements cloud. Ils ne se livrent pas au vol d’informations, probablement parce qu’ils veulent éviter d’attirer l’attention.

Pour la distribution, les pirates utilisent le faux cadre de mise à jour SocGholish, qui fournit directement un chargeur Cobalt Strike personnalisé aux systèmes ciblés.

Sur l’hôte infecté, WastedLocker effectue d’abord une série d’opérations pour s’assurer qu’il fonctionne correctement, puis il procède au chiffrement des fichiers. S’il n’est pas exécuté avec des droits administratifs, le ransomware tente d’élever des privilèges.

WastedLocker a été observé en utilisant une méthode de contournement UAC (User Account Control) connue qui implique la moquerie des répertoires de confiance et l’utilisation d’un flux de données alternatif (ADS) pour se charger dans des processus apparemment légitimes.

Le ransomware peut supprimer les clichés instantanés pour empêcher la récupération de données et peut crypter des fichiers dans des répertoires spécifiques uniquement ou tous les fichiers sur un lecteur. Le malware cible les disques amovibles, fixes, partagés et distants pour le chiffrement.

« Au lieu d’inclure une liste de cibles d’extension, WastedLocker inclut une liste de répertoires et d’extensions à exclure de …