Ransomware : Megacortex, de troublantes analogies avec Lockergoga

C’est le premier mai que les équipes de Sophos ont fait la découverte de MegaCortex, un nouveau rançongiciel, à l’occasion d’un « pic du nombre d’attaques contre les clients Sophos à travers le monde, dont en Italie, aux Etats-Unis, au Canada, aux Pays-Bas, et d’autres pays ». Le premier échantillon téléversé VirusTotal l’a été le 22 janvier dernier. En fait, les premières alertes générées auprès des clients de Sophos remontent à février, avant le pic du 1^er mai : « chaque attaque visait un réseau d’entreprise et pourrait avoir impliqué des centaines de machines ». Mais ce nouveau maliciel s’avère pour le moins troublant.

De fait, il renvoie, à de nombreux égards, à LockerGoga. Ainsi, la demande de rançon ne fait mention d’aucun prix, invitant mécaniquement à une négociation de gré à gré. MegaCortex utilise en outre une adresse de centre de commande et de contrôle également mise à contribution pour LockerGoga. Mais d’autres maliciels l’ont également utilisée.

Les chercheurs de Sophos relèvent en outre des comportements comparables, de même que « certaines caractéristiques internes peu courantes ». Et c’est sans compter avec le compilateur utilisé, en version 14.x dans les deux cas.

Les éléments de comparaison continuent. Pour MegaCortex, les attaquants utilisent Cobalt Strike. Ils s’appuient sur un – voire plusieurs – contrôleur de domaine compromis pour distribuer leur charge utile dans le système d’information, avec WMI. De quoi renvoyer aux pratiques de Grim Spider, comme pour Ryuk. D’ailleurs, Emotet et Qbot apparaissent présents dans les environnements compromis par MegaCortex. Le premier est connu pour être utilisé dans la distribution de Ryuk.

Selon les équipes de Sophos, si les parallèles sont nombreux, « rien de tout cela n’est suffisant pour établir un lien entre les deux, en particulier parce qu’il n’y a pas beaucoup de parité entre les sous-routines des deux ». Cependant cela n’en est pas moins « troublant ».

Les maliciels MegaCortex et LockerGoga, ou encore Ryuk, n’ont peut-être pas de véritable lien de parenté, mais ils soulignent tous les trois le fait que les ransomwares continuent de constituer une menace sérieuse pour les entreprises, diffusés par des acteurs choisissant leurs cibles et prenant le temps de leur compromission avant de frapper.