Ransomware : quand les attaquants s’attachent à négocier à huis clos

Pour de nombreux rançongiciels opérés par des attaquants aux prétentions financières limitées, la négociation par e-mail ou via la messagerie sécurisée Tox, voire Session, n’est pas rare. C’est moins fréquent avec des groupes plus professionnels, dotés d’une importante infrastructure IT de gestion de la relation « client » comme feu Hive, Conti ou encore LockBit 3.0.

Avec ces groupes, les discussions se font essentiellement, voire exclusivement, dans des interfaces Web dédiées, connectées à un backend spécialisé. Le cas échéant, les cybercriminels sont même capables d’ouvrir de nouveaux salons de discussion en cas de soupçon d’intrusion dans le premier. Nous l’avons déjà constaté avec Ragnar Locker ou encore Conti. 

Car les détails d’accès au salon de négociation sont fournis dans la note de rançon, déposée après le chiffrement des fichiers sur les machines compromises. Ces détails sont historiquement codés en dur dans l’exécutable de chiffrement : mettre la main sur un échantillon suffit à obtenir ces données. La pratique est historiquement répandue, notamment chez les analystes et chercheurs en cybersécurité. Certains cybercriminels semblent l’avoir bien compris. 

Le ransomware Money Message, découvert courant mars 2023, compte parmi ceux-là. L’exécutable ne manque pas de données : on peut notamment en extraire des identifiants de comptes utilisateurs pour les domaines Active Directory des victimes. Ils étaient en clair dans les premiers échantillons et désormais encodés en base64. La note de rançon l’est également.

Mais les opérateurs de Money Message semblent générer un onion Tor unique pour chaque victime, et à la durée de vie limitée : passé un temps, il n’est plus possible de s’appuyer sur la note de rançon pour accéder à l’éventuelle négociation. D’où l’importance, pour la victime, de contrôler la diffusion des échantillons d’exécutable collectés sur les systèmes attaqués. 

La franchise Royal semble également s’être attachée à renforcer la confidentialité des échanges : les échantillons collectés ne contiennent aucune donnée susceptible de permettre à un tiers d’accéder à l’éventuelle négociation. 

L’identifiant unique de la victime – une clé alphanumérique à 32 caractères dans le cas de Royal – n’est pas codé en dur dans l’exécutable chargé du chiffrement : c’est un argument passé à l’exécutable pour son lancement. Elle est utilisée pour construire l’URL Tor conduisant à la négociation et qui sera fourni dans la note de rançon.

Dès lors, un échantillon de Royal seul ne permet en rien d’accéder à l’éventuelle négociation : seule une personne ayant accès à la note de rançon est susceptible de faire « fuiter » les informations le permettant. Une façon supplémentaire, pour les opérateurs de Royal, de renforcer la confidentialité des échanges avec leurs victimes.