Une nouvelle opération Sugar Ransomware cible activement les ordinateurs individuels, plutôt que les réseaux d’entreprise, avec de faibles demandes de rançon.
Découvert pour la première fois par l’équipe de sécurité de Walmart, « Sugar » est une nouvelle opération de Ransomware-as-a-Service (RaaS) qui a été lancée en novembre 2021 mais qui s’est lentement accélérée.
Le nom du ransomware est basé sur le site affilié de l’opération découvert par Walmart à ‘sugarpanel[.]espace’.
Contrairement à la plupart des opérations de rançongiciel dont vous avez entendu parler dans les actualités, Sugar ne semble pas cibler les réseaux d’entreprise, mais plutôt les appareils individuels, appartenant probablement aux consommateurs ou aux petites entreprises.
En tant que tel, il n’est pas clair comment le ransomware est distribué ou infecte les victimes.
Le sucre Ransomware
Une fois lancé, Sugar Ransomware se connectera à whatismyipaddress.com et ip2location.com pour obtenir l’adresse IP et l’emplacement géographique de l’appareil.
Il procédera ensuite au téléchargement d’un fichier de 76 Mo à partir de http://cdn2546713.cdnmegafiles[.]com/data23072021_1.dat, mais on ne sait pas comment ce fichier est utilisé.
Enfin, il se connectera au serveur de commande et de contrôle de l’opération de ransomware au 179.43.160.195, où il transmet et reçoit les données liées à l’attaque. Le rançongiciel continuera à rappeler le serveur de commande et de contrôle au fur et à mesure de son exécution, mettant probablement à jour le RaaS avec l’état de l’attaque.
La source: EZpublish-france.fr
Lors du chiffrement des fichiers, le rançongiciel chiffrera tous les fichiers sauf ceux répertoriés dans les dossiers suivants ou portant les noms de fichiers suivants :
Excluded folders: windows DRIVERS PerfLogs temp boot Excluded files: BOOTNXT bootmgr pagefile .exe .dll .sys .lnk .bat .cmd .ttf .manifest .ttc .cat .msi;
le Selon les chercheurs de Walmart que le rançongiciel crypte les fichiers à l’aide du Algorithme de chiffrement SCOP. Les fichiers cryptés auront l’extension .encoded01 ajoutée aux noms de fichiers, comme indiqué ci-dessous.
La source: EZpublish-france.fr
Le rançongiciel créera également des notes de rançon nommées BackFiles_encoded01.txt dans chaque dossier qui a été analysé pour les fichiers sur l’ordinateur.
Cette note de rançon contient des informations sur ce qui est arrivé aux fichiers de la victime, un identifiant unique et un lien vers un site Tor avec des informations sur la façon de payer la rançon. Le site Tor est situé sur chat5sqrnzqewampznybomgn4hf2m53tybkarxk4sfaktwt7oqpkcvyd.onion.
La source: EZpublish-france.fr
Lors de la visite du site Tor, la victime se verra présenter sa propre page contenant l’adresse bitcoin pour envoyer une rançon, une section de chat et la possibilité de décrypter cinq fichiers gratuitement.
La source: EZpublish-france.fr
Les demandes de rançon par cette opération sont très faibles, les attaques vues par EZpublish-france.fr ne demandant que quelques centaines de dollars pour recevoir une clé. Étrangement, sur notre boîte de test, la demande de rançon qui en a résulté n’était que de 0,00009921 bitcoins, d’une valeur de 4,01 $.
Comme EZpublish-france.fr a testé le ransomware sur une machine virtuelle avec un petit nombre de fichiers, cela pourrait indiquer que le ransomware génère des montants de rançon basés sur le nombre de fichiers cryptés.
La source: EZpublish-france.fr
Contrairement à la plupart des infections de rançongiciels, l’exécutable du logiciel malveillant s’exécute même après la fin du cryptage. Cependant, aucun paramètre de démarrage automatique n’est créé et il ne semble pas continuer à chiffrer de nouveaux documents.
À l’heure actuelle, il n’est pas clair si le rançongiciel présente des faiblesses qui pourraient permettre un décryptage gratuit. Nous mettrons à jour cet article au fur et à mesure que de nouvelles informations seront disponibles.
De plus, si vous êtes affecté par ce rançongiciel, veuillez nous faire savoir comment vous avez été infecté.