Le rançongiciel Thanos, découvert en janvier 2020, est développé par le cyber gang de Nosophoro et possède des propriétés de protection exceptionnelles. En utilisant la technique RIPlace, les logiciels malveillants peuvent contourner les actions système et réseau utilisées pour le désactiver.
Entre pirates informatiques et responsables de la sécurité, c’est un jeu perpétuel de chat et de souris. Mais parfois, la souris peut être particulièrement difficile à neutraliser. C’est le cas du ransomware de Thano, découvert en janvier 2020 par Inskit Group, qui a publié un rapport pour mieux comprendre sa fonction. C’est le groupe de cyber hackers opérant sous le nom de famille Nosophoros, qui se trouve être derrière Thanos, et proposant à la vente sur le dark web une version personnalisable dans 43 configurations possibles de ce malware pour s’adapter au plus près aux besoins du cyber coke . Le mode de distribution, type de rançongiciel en tant que service, combiné avec des mises à jour et de nouvelles fonctionnalités, montre à quel point l’opérateur derrière Thanos professionnalise son activité.
«Le client Thanos est simple dans sa structure et ses fonctionnalités générales. Il est écrit en C # et est facile à comprendre malgré son obscurité [consistant à rendre un exécutable ou un code source illisible et difficile à comprendre par un humain ou un décompilateur, la note de l’éditeur], et bien qu’il contienne des fonctionnalités plus avancées telles que la technique RIPlace », Explique Inskit Group. Ce malware intègre 12 à 17 classes, dont un programme de base commun et Crypto, puis d’autres tels que NetworkSpreading, Wake on LAN, selon les « options » choisies par les acheteurs de ce ransomware. La technique RIPlace, embarquée dans Thanos, consiste à augmenter la capacité de ce malware à contourner la défense introduite par l’équipe de sécurité de l’entreprise (antivirus, pare-feu …) pour le désactiver. «Avec les meilleures pratiques en matière de sécurité, telles que l’interdiction des connexions FTP externes et la mise sur liste noire des outils de sécurité offensifs connus, les risques associés aux deux composants clés de Thanos – le voleur de données et le mouvement latéral (via l’outil SharpExec) – peuvent être évités», explique Inskit Group.
Kaspersky et Carbon Black s’arrêtent pour corriger la vulnérabilité RIPlace
«Le client Thanos utilise AES-256 en mode CBC pour crypter les fichiers utilisateur. La clé utilisée pour le chiffrement AES provient d’un mot de passe et d’un sel créés via l’appel de fonction Windows rfc2898DeriveBytes. Une fois que le client Thanos a utilisé cette clé pour crypter tous les fichiers qu’il découvre, il utilise une clé publique RSA 2048 intégrée pour crypter le mot de passe AES utilisé. La chaîne Bas64 de ce mot de passe chiffré est ajoutée au message de rançon demandant à la victime d’envoyer la chaîne de mot de passe chiffrée aux acteurs de la menace pour déchiffrer leurs fichiers. La clé privée associée à la clé publique utilisée pour chiffrer le mot de passe est requise pour déchiffrer le mot de passe AES. Seul l’opérateur qui a créé le client Thanos doit avoir accès à la clé privée », a déclaré Inskit Group.
La technique RIPlace utilisée par Thanos a d’abord fait l’objet d’un POC par Nyotron en novembre 2019. Ce dernier a mis en garde les fournisseurs de solutions de sécurité, dont Microsoft. Mais à l’époque, cette technique n’était pas considérée comme une vulnérabilité par la plupart d’entre eux, à l’exception de Kaspersky et Carbon Black (acquis par VMware), qui ont modifié leur logiciel en conséquence. Début 2020, Inskit Group a pu observer sur le dark web et sur les forums de cyber pirate que la technique RIPlace commençait à être mise en œuvre.
Une chance de récupérer des données sans payer
Cependant, tout n’est pas perdu: « Si une clé dynamique est sélectionnée avant le démarrage du processus de chiffrement, le client Thanos utilise Windows RNGCryptoServiceProvider pour générer une chaîne base64 de 32 octets aléatoire qui sera utilisée comme mot de passe AES. Si le client Thanos est configuré pour utiliser un mot de passe statique, il est stocké dans le binaire lui-même. Cela signifie que si un client Thanos est restauré après le chiffrement, les victimes de Thanos ont toujours la possibilité de récupérer leurs fichiers sans payer de rançon « , explique Inskit. Cependant, selon les dernières analyses de la société, Nosophoros a reçu des signaux positifs de la communauté des pirates, affirmant que l’outil « fonctionne parfaitement » et encourage les cyber gangs à « garder les mises à jour à venir ». Pour Nosoporos, c’est comme d’habitude.