Ransomware : une nouvelle franchise est apparue, Sugar

Les couloirs du monde souterrain de la cyberdélinquance bruissent depuis plusieurs mois au sujet de l’arrivée imminente d’une nouvelle franchise de ransomware-as-a-service (RaaS). Selon nos informations, les opérations ont effectivement été ouvertes aux affidés début décembre dernier.

Les équipes recherche sur les menaces de Walmart ont levé le voile sur le petit nouveau, début février 2022 : Sugar. De premiers échantillons sont aujourd’hui disponibles, de même que des règles de détection Yara. Selon les équipes de Walmart, cette franchise apparaît plus destinée aux particuliers qu’aux entreprises. Mais cela reste encore à confirmer.

Le ransomware a été écrit en Delphi. Mais il présente une spécificité remarquable : « la réutilisation de la même routine de l’outil de chiffrement dans le cadre du décodage de chaînes de caractères dans le maliciel ». Pour les équipes de Walmart, cela pourrait indiquer « qu’ils ont le même développeur et que l’outil de chiffrement fait probablement partie du processus de compilation ou d’un service que l’opérateur principal offrirait à ces affidés ».

La note de demande de rançon – ou plutôt celle contenant les instructions pour entrer en contact avec les cyberdélinquants – rappelle fortement celle utilisée précédemment pour REvil/Sodinokibi. La page de négociation rappelle quant à elle celle de Cl0p.