LockFile Ransomware utilise une nouvelle technique de cryptage
Des chercheurs travaillant avec la société de sécurité Sophos ont publié un rapport sur une nouvelle souche de ransomware appelée LockFile. Ce qui rend la nouvelle menace unique, c'est la façon dont elle crypte les fichiers sur les systèmes victimes.
LockFile est un nouveau nom dans le paysage des logiciels malveillants, apparu récemment, peu de temps après la découverte que les serveurs MS Exchange non corrigés étaient vulnérables aux attaques ProxyShell.
L'équipe Sophos explique que le nouveau ransomware utilise une technique de cryptage qui n'a jamais été utilisée par une autre souche de ransomware dans le passé. La façon dont LockFile crypte les fichiers est décrite comme un « cryptage intermittent ». Le rapport explique que le malware crypte "tous les 16 octets" de chaque fichier. Sophos explique en outre que cette méthode conserve le fichier crypté résultant « statistiquement très similaire » à l'état du fichier d'origine.
Cette nouvelle approche du cryptage aide LockFile à tromper certaines contre-mesures anti-ransomware, mais ce n'est pas le seul outil d'évasion utilisé par le ransomware. LockFile utilise également des E/S mappées en mémoire lors du cryptage des fichiers. Cela réduit les E/S disque au minimum et peut en outre garder l'activité malveillante de LockFile sous le radar.
En fin de compte, LockFile n'a pas non plus besoin de contacter un serveur de commande et de contrôle pour la communication. Cela rend le ransomware encore plus difficile à repérer tôt sur un système victime, car il n'y a pas de connexions sortantes suspectes traçables.
LockFile utilise un outil Windows légitime appelé Windows Management Interface ou WMI - un outil de ligne de commande qui est fourni avec chaque version et installation de Windows moderne. WMI est utilisé pour arrêter les processus liés à la gestion et à la virtualisation des bases de données. Cela garantit à la fois que les fichiers sont maintenant prêts à être exploités et qu'en utilisant WMI comme intermédiaire, il ne devient pas immédiatement évident que les processus légitimes ont été arrêtés par le ransomware.
Sophos a expliqué en outre pourquoi la méthode de cryptage intermittente peut tromper certaines défenses. La façon dont cela fonctionne a à voir avec une méthode de vérification appelée "chi carré". Cette méthode attribue à chaque fichier un score. Si un fichier est crypté avec d'autres souches de ransomware, même ceux qui ne cryptent que les premiers blocs du fichier, auront une divergence significative dans son score chi carré, par rapport au fichier d'origine. Cependant, la méthode de cryptage intermittent produit des fichiers dont les scores du chi carré sont beaucoup plus proches des fichiers d'origine.
