Ransomware : ce que l’on sait du nouveau Night Sky

C’est le 1^er janvier 2021 que le collectif MalwareHunterTeam a découvert le ransomware Night Sky, faisant état de deux victimes déjà mentionnées sur le site vitrine de la nouvelle franchise. Le système de dialogue avec les victimes avait quant à lui été mis en place quelques jours plus tôt, le 27 décembre 2020.

Les affidés de Night Sky pratiquent, comme plusieurs autres, la double extorsion, chiffrant certaines données de leurs victimes après les avoir volées, et menaçant de les divulguer si la rançon demandée n’est pas payée.

Selon l’analyste Jiří Vinopal, Night Sky présente un fort lien de parenté avec Rook : pour lui, il ne s’agit que d’une réécriture, un « fork » de Rook maquillé avec VMProtect. Rook apparaît être une variante de feu Babuk. Le code source complet de ce dernier a été diffusé publiquement au mois de septembre dernier. Apparu début 2020, le groupe Babuk avait annoncé l’arrêt des attaques avec ransomware quatre mois plus tard.

Dans une version mise à jour de sa note d’information sur la vulnérabilité dite Log4Shell, et référencée CVE-2021-44228, Microsoft indique, depuis le 4 janvier 2021, que des attaquants exploitent celle-ci contre des déploiements VMware Horizon accessibles directement sur Internet : « notre enquête montre que les intrusions réussies dans ces campagnes ont conduit au déploiement du ransomware Night Sky ».

Dès le 11 décembre, Microsoft alertait sur l’exploitation de la vulnérabilité Log4Shell, affectant la librairie de journalisation log4j2 et dévoilée la veille, pour l’installation de balises Cobalt Strike. Celles-ci sont notamment fréquemment utilisées dans le cadre des activités de déplacement latéral préalable à la détonation de ransomware. Deux semaines plus tard, il fallait se ranger à l’évidence : cette vulnérabilité était déjà utilisée pour des attaques avec rançongiciel.

Selon Microsoft, les attaques exploitant Log4Shell contre des environnements VMware Horizon affectés, et conduisant au déploiement de Night Sky, « sont réalisées par un opérateur de rançongiciel basé en Chine » et suivi sous la référence DEV-0401. Selon l’éditeur, ce dernier « a précédemment déployé plusieurs familles de ransomware, dont LockFile, AtomSilo, et Rook ».

Et cela en exploitant des systèmes exposés sur Internet et affectés par les vulnérabilités CVE-2021-26084 (Atlassian Confluence) et CVE-2021-34473 (Microsoft Exchange).

L’un des marqueurs techniques publiés par Microsoft, dans le cadre des attaques conduites par DEV-0401 avec Night Sky, a été observé pour activités impliquant Cobalt Strike. Un autre a été utilisé comme centre de commande et de contrôle pour PlugX en novembre dernier, et mentionné également comme tel début janvier.