Qilin.B : Une Nouvelle Variante de Ransomware Basée sur Rust

Une nouvelle version du ransomware Qilin, surnommée 'Qilin.B', a été détectée lors d'attaques, présentant une encryption plus robuste, une meilleure évasion des outils de sécurité, et la capacité de perturber les mécanismes de récupération des données. Cette menace a été identifiée par les chercheurs en sécurité de Halcyon, qui ont averti sur le danger et partagé des indicateurs de compromission pour aider à une détection précoce.


Les Améliorations du Mécanisme d'Encryption

La première grande nouveauté de Qilin.B réside dans son schéma d'encryption. Le ransomware utilise désormais l'AES-256-CTR, profitant des capacités AESNI pour les CPU qui les supportent, ce qui accélère le processus d'encryption.

Cependant, pour les systèmes plus anciens ou moins puissants qui ne disposent pas de la technologie AESNI, Qilin.B conserve également le ChaCha20, garantissant ainsi une encryption solide dans tous les cas.

De plus, le ransomware intègre le RSA-4096 avec un padding OAEP pour protéger la clé d'encryption, rendant la décryption presque impossible sans la clé privée ou des valeurs de graine capturées.

Méthodes de Persistance et Ciblage

Lors de son exécution, le nouveau malware Qilin ajoute une clé d'autorun dans le Registre Windows pour assurer sa persistance. Il met également fin à certains processus afin de libérer des données critiques pour l'encryption et de désactiver les outils de sécurité. Parmi les processus ciblés, on trouve :

  • Veeam (sauvegarde et récupération)
  • Windows Volume Shadow Copy Service (sauvegarde et récupération système)
  • Services de bases de données SQL (gestion des données d'entreprise)
  • Sophos (logiciel de sécurité et antivirus)
  • Acronis Agent (service de sauvegarde et récupération)
  • SAP (planification des ressources d'entreprise)

Les copies de sauvegarde existantes sont supprimées pour empêcher une restauration facile du système, et les journaux d'événements Windows sont effacés pour entraver l'analyse judiciaire. Le binaire du ransomware est également supprimé une fois le processus d'encryption terminé.

Un Impact Potentiel

Qilin.B cible à la fois les répertoires locaux et les dossiers réseau, générant des notes de rançon pour chaque répertoire traité, avec l'ID de la victime dans le titre. Pour maximiser son impact, il modifie également le Registre pour permettre le partage de disques réseau entre les processus élevés et non élevés.

Bien que ces caractéristiques ne soient pas révolutionnaires dans le domaine des ransomwares, elles peuvent avoir un impact sévère et étendu lorsqu'elles sont ajoutées à une famille déjà utilisée par des groupes de menaces notoires dans des attaques très efficaces.

Antécédents de Qilin

En août dernier, Sophos a révélé que Qilin déploie un voleur d'informations personnalisé lors des attaques pour collecter les identifiants stockés dans le navigateur Google Chrome, élargissant ainsi ses attaques à l'ensemble des réseaux ou se réintroduisant sur des réseaux compromis même après nettoyage.

Par le passé, Qilin a été utilisé dans des attaques dévastatrices contre des hôpitaux majeurs de Londres, les services judiciaires de Victoria en Australie, et le géant automobile Yanfeng.

Le groupe utilise également une variante Linux ciblant les attaques sur VMware ESXi, mais la variante repérée par Halcyon concerne les systèmes Windows.

Conclusion

Qilin.B représente une menace sérieuse dans le paysage des ransomwares, combinant des techniques d'encryption avancées avec des méthodes de persistance et d'évasion efficaces. Les organisations doivent rester vigilantes et mettre en œuvre des mesures de sécurité robustes pour se protéger contre de telles attaques.

Article suivant Article précédent
Aucun commentaire
Ajouter un commentaire
URL du commentaire