Ransomware : du webshell au chiffrement, le parcours de Spirals

Spirals est un rançongiciel sophistiqué, développé en Rust, déployé lors d'une attaque à double extorsion contre une société de services informatiques en Asie du Sud. Son site vitrine n'a pas encore été localisé.

Tout a commencé par la compromission d'un serveur IIS exposé à Internet. C'est ainsi que l'accès initial a pu être établir. De là, les assaillants ont installé un webshell. De quoi établir une session interactive pour exécuter des commandes directement sur le serveur.

S'en est naturellement suivie une phase d'élévation de privilèges afin d'activer le protocole de poste de travail à distance (RDP) avant de créer un compte utilisateur local dédié. La suite ? Énumération des utilisateurs et des partages réseau et collecte des données d'authentification à portée. 

Une fois le point d'ancrage établi, le déplacement latéral a été initié, rapportent les chercheurs de Symantec. Mais pas question de laisser RDP trop visible dans les flux réseau : les assaillants ont déployé un rétro-proxy Socks vers une adresse IP externe sur l'inévitable port 443. Dans le même temps, le rançongiciel était déployé sur le réseau de la victime via PsExec. L'exécutable en question avait été nommé bitsadmin.com pour se donner l'apparence d'un outil légitime.

Avant le déploiement du rançongiciel, une phase de préparation a permis de désactiver la surveillance. Les opérateurs ont désactivé la surveillance en temps réel de Windows Defender et ont arrêté une liste étendue de services critiques : produits de virtualisation (VMware, Hyper-V), bases de données (SQL Server, Oracle, MySQL) ou encore solutions de sauvegarde (Veeam, Acronis), notamment. 

Spirals est un rançongiciel complet, développé en Rust. Il utilise un chiffrement AES-128 pour les fichiers, dont les clés sont enveloppées par une clé publique ECDH P-256 contrôlée par les attaquants. Les fichiers de plus de 5 Mo ne sont pas pleinement chiffrés afin d'accélérer le processus. 

Cette attaque est survenue mi-juin, sur l'environnement prestataire de services IT en Asie. C'est vraisemblablement l'une des premières observations de Signals. Un site vitrine lui est très probablement associé afin de faire chanter ses victimes en menaçant de divulguer leur nom et leurs données. Mais les équipes de Symantec ne l'ont pas rendu public. L'échantillon dont ils mentionnent la signature n'est pas présent dans les bacs à sable d'analyse habituels. 

Pour approfondir sur Menaces, Ransomwares, DDoS