Pour gérer vos consentements :
Categories: RansomwareSécurité

LockFile : ce ransomware au chiffrement discret

Des ransomwares qui chiffrent partiellement les fichiers ? On en a connu. Par exemple LockBit, qui a notamment touché Accenture. Ou DarkSide, utilisé contre Colonial Pipeline. On retrouve la technique chez LockFile, qui a émergé cet été. Mais avec un complément : du chiffrement par intermittence. En l’occurrence, un bloc de 16 octets sur deux.

Ce procédé permet de déjouer certaines méthodes d’analyse statique. Parmi elles, celle du khi-deux (χ²). Les signatures ci-dessous en témoignent.

La différence est moindre entre le fichier original (à gauche) et la version chiffrée par LockFile (à droite).

LockFile ne dépend pas d’un serveur de commande. Il semble cibler les serveurs Exchanges en exploitant la faille ProxyShell, assortie d’un relais NTLM (via PetitPotam).

Comme Maze, le ransomware chiffre en mémoire cache. Dans une certaine mesure, cela constitue une autre technique d’évasion. D’une part, en minimisant les I/O disque. De l’autre, en laissant le soin à l’OS – et non pas au processus malveillant – d’écrire les fichiers chiffrés.

Parmi les autres éléments susceptibles de contourner les solutions de sécurité :

  • Binaire doublement empaqueté
  • Création d’un mutex pour éviter les exécutions parallèles
  • Recours à WMI pour tuer certains processus (liés en particulier à la virtualisation et aux bases de données)

La note de rançon n’est pas au format texte, mais HTA (application HTML).

Photo d’illustration © kras99 – Adobe Stock

Recent Posts

Budget 2023 : la part belle au numérique ?

Formation cyber, très haut débit, identité numérique régalienne... Quelle place pour le numérique au budget…

3 heures ago

Stéphanie Schaer : la nouvelle patronne de la Dinum en 5 dates

De Bercy à la « période Borne », focus sur cinq moments qui ont jalonné…

9 heures ago

Lenovo : quand le DSI et le CTO s’alignent

L'alignement de responsabilités techniques fait partie des leviers activés par Lenovo pour affronter les soubresauts…

1 jour ago

SD-WAN : 10 marqueurs de reconfiguration du marché

NaaS, SD-Branch, performance applicative, « internet amélioré »... Lumière sur quelques tendances actuelles et futures…

1 jour ago

SD-WAN : qui sont ces fournisseurs qui « creusent l’écart » ?

Sur les quelque 70 fournisseurs SD-WAN qu'il a dans ses radars, Gartner en distingue une…

1 jour ago

Cloud collaboratif : UCaaS, CCaaS et CPaaS d’abord

Les entreprises investissent toujours plus la collaboration en mode cloud. Microsoft et Cisco dominent. Zoom…

1 jour ago