Wannaren : comment les cybercriminels ont livré la clé
En avril, une importante épidémie de ransomware a frappé les internautes chinois. Pendant environ une semaine, une souche de ransomware connue sous le nom de WannaRen a fait des dizaines de milliers de victimes parmi les particuliers et les entreprises locales chinoises et taïwanaises.
Rétrospectivement, la viralité de WannaRen peut s’expliquer par le fait que son code a été vaguement modelé sur WannaCry, la souche de ransomware au cœur de l’épidémie mondiale de mai 2017.
Tout comme leur inspirateur, les auteurs de WannaRen ont incorporé l’exploit EternalBlue dans leur chaîne d’infection, permettant à WannaRen de se propager sans restriction à l’intérieur des réseaux d’entreprise avant de chiffrer les fichiers et de demander des rançons.
Et tout comme WannaCry, WannaRen s’est répandu comme une traînée de poudre, bien au-delà de ce que les auteurs du logiciel rançon avaient prévu, créant plus de dégâts qu’ils ne l’avaient anticipé. C’est la raison pour laquelle les auteurs du logiciel malveillant ont finalement renoncé à la clé de décryptage principale, afin que toutes les victimes puissent récupérer leurs fichiers.
Le groupe de logiciels malveillants Hidden Shadow
Plus de trois ans après que cela se soit produit, nous pouvons maintenant affirmer avec certitude que WannaCry a été créé par des pirates informatiques du gouvernement nord-coréen pour infecter quelques victimes et utiliser les paiements de rançon afin de collecter des fonds pour le régime de Pyongyang. Les auteurs de WannaCry n’ont jamais eu de grandes ambitions, et l’épidémie mondiale qui s’en est suivie n’a jamais été leur intention. Cela n’a fait qu’attirer davantage l’attention sur leurs activités criminelles..
Cependant, on peut dire la même chose des auteurs de WannaRen, un groupe que le fabricant chinois d’antivirus Qihoo 360 explique avoir suivi sous le nom de Hidden Shadow.
Décrit comme un acteur mineur, ce groupe est actif depuis des années. Il est impliqué dans la distribution d’un assortiment de logiciels malveillants, généralement via des sites de téléchargement de logiciels piratés.
Les opérations passées ont impliqué la distribution de voleurs de mots de passe, de keyloggers de chevaux de Troie d’accès à distance et de logiciels malveillants de crytomining clandestin.
WannaRen a été ajouté à l’arsenal du groupe le 4 avril dernier.
Selon plusieurs sources, le point de distribution initial de WannaRen était un installateur modifié de l’éditeur de texte Notepad++, distribué via le Xixi Software Center.
Image via ITnews
Comme l’accès au site officiel de téléchargement Notepad++ est souvent bloqué en Chine en raison des prises de position du developpeur , et comme Xixi est l’un des plus grands sites de téléchargement de logiciels en Chine, les infections par WannaRen se sont rapidement multipliées.
Des milliers d’internautes chinois ont commencé à demander de l’aide pour décrypter leurs fichiers sur les forums, les réseaux sociaux et les chats en ligne chinois, dès les premières infections par le ransomware, selon la presse locale.
Les logiciels malveillants de Hidden Shadow se répandent sur les réseaux
Beaucoup de ceux qui demandaient de l’aide étaient des administrateurs informatiques gérant des réseaux d’entreprise, où WannaRen était particulièrement agressif.
Cette typologie de victime est probablement dûe à la routine d’infection de WannaRen.
Sur les ordinateurs où les utilisateurs ont installé cette version piégée de Notepad++, l’installateur deposait un cheval de Troie à porte dérobée, utilisait l’exploit EternalBlue pour se propager latéralement sur un réseau (via SMBv1), et utilisait un script PowerShell pour télécharger et installer le logiciel de rançon WannaRen ou un module de cryptomining.
Image : Qihoo 360
Une fois les ordinateurs des utilisateurs verrouillés, le logiciel malveillant affichait une demande de rançon représentant le dictateur nord-coréen Kim Jong-un, et demandait aux utilisateurs de payer une rançon de 0,05 bitcoin (~550 dollars) pour déchiffrer leurs fichiers.
Tous les ordinateurs touchés par ce logiciel malveillant étaient assez faciles à repérer, car tous les fichiers chiffrés portaient l’extension “.wannaren”.
Image via Weibo
Les auteurs de WannaRen livrent la clé
Compte tenu de la méthode de distribution de niche et du montant des rançons exigées, il était assez clair dès le départ que le groupe Hidden Shadow n’avait pas l’intention de diffuser son logiciel malveillant aussi largement et aussi rapidement.
Craignant ou anticipant probablement une répression des autorités chinoises, le groupe Hidden Shadow a pris contact avec une entreprise chinoise de cybersécurité locale, Huorong Security (火绒, ou Tinder Security), une semaine aprés la diffusion initiale du ransomware.
Dans une série de mails que l’entreprise a partagée en ligne, les auteurs de WannaRen ont livré la clé de chiffrement privée du ransomware (également appelée clé de décryptage principale) au personnel de Huorong, demandant à l’entreprise de créer et de partager un utilitaire de décryptage gratuit pour les victimes infectées.
Image : Sécurité de Huorong
Le même jour, le 9 avril, Huorong a publié son utilitaire de décryptage WannaRen, suivi quelques heures plus tard par un utilitaire de décryptage similaire créé par RedDrip, une division de cyber-sécurité au sein de QiAnXin Technology, qui a également suivi la propagation de WannaRen
Cependant, si la grande majorité des utilisateurs de WannaRen se trouvaient en Chine, l’extrême viralité du logiciel malveillant lui a également permis de se propager via des réseaux internes des filiales chinoises à certaines entreprises étrangères.
Comme toutes ces entreprises ne savent peut-être pas qu’il existe un outil de décryptage gratuit, ou qu’elles ne font pas confiance aux outils créés par les deux fournisseurs de sécurité chinois, le fabricant roumain d’antivirus Bitdefender a également publié aujourd’hui son propre utilitaire de décryptage WannaRen.
Source : “ZDNet.com”
