Le groupe de rançongiciels CryptNet est actif depuis avril 2023. Leur malware, qui est également proposé en tant que ransomware-as-a-service sur le dark web, est simple mais sans doute efficace et bien déguisé contre les détections. Un analyste de l'équipe Zscaler ThreatLabz.
Le nouveau groupe vend son ransomware-as-a-service dans des forums clandestins et y recrute des partenaires pour leurs activités criminelles. Les analystes ont maintenant examiné le modus operandi de la campagne actuelle, qui, selon les acteurs de la menace, vole les données des entreprises concernées avant le décryptage afin de renforcer leurs demandes de rançon en les publiant sur un site Web de fuite de données.
Ransomware, y compris obfuscation
Le code du rançongiciel CryptNet est écrit en .NET et obscurci avec .NET Reactor. Le malware utilise AES 256 bits en mode CBC et RSA 2048 bits pour chiffrer les fichiers. Après avoir supprimé la couche d'obscurcissement, CryptNet partage de nombreuses similitudes avec les familles de rançongiciels Chaos et leur dernière variante appelée Yashma. Les similitudes dans le code incluent les méthodes de chiffrement, la désactivation des services de sauvegarde et la suppression des clichés instantanés. CryptNet semble être basé sur le code de Yashma, mais a amélioré les performances de cryptage des fichiers.
L'une des premières actions du ransomware est de générer un identifiant, qui est ajouté au message du ransomware. Il se compose de deux caractères codés en dur suivis de 28 nombres pseudo-aléatoires et de caractères codés en dur à la fin. De cette façon, chaque système crypté reçoit un identifiant de décryptage unique et les attaquants peuvent identifier la victime en ouvrant et en fermant des crédits. Après avoir créé cet ID, la routine de chiffrement proprement dite commence. Pendant le processus de cryptage, CryptNet crée une note de rançon appelée RESTORE-FILES-[9 caractères aléatoires].txt.
Ransomware en tant que service simple mais efficace
CryptNet est un rançongiciel simple mais efficace qui a pris la base de code populaire Chaos et Yashma et a augmenté l'efficacité du cryptage des fichiers. Le code n'est pas particulièrement avancé, mais les algorithmes et l'implémentation sont cryptographiquement sécurisés. Le groupe prétend mener des doubles attaques de chantage, suivant la tendance des acteurs de la menace avancée. La plate-forme de sécurité cloud multicouche de Zscaler détecte les indicateurs de CryptNet à différents niveaux sous le nom Win32.Ransom.CryptNet.
Plus sur Zscaler.com
À propos de Zscaler Zscaler accélère la transformation numérique afin que les clients puissent devenir plus agiles, efficaces, résilients et sécurisés. Zscaler Zero Trust Exchange protège des milliers de clients contre les cyberattaques et la perte de données en connectant en toute sécurité les personnes, les appareils et les applications partout. Le Zero Trust Exchange basé sur SSE est la plus grande plate-forme de sécurité cloud en ligne au monde, distribuée dans plus de 150 centres de données à travers le monde.