sommaire
Dans un article de blog intitulé « L’histoire d’un constructeur de ransomware : de Thanos à Spook et au-delà (Partie 1) », nos confrères du CERT-SEKOIA ont décrit la résultats de la réponse à un incident sur une attaque de ransomware Spook. Nous avons repris puis enquêté sur le builder Thanos utilisé par le groupe éphémère Spook et bien d’autres groupes.
1.1 De Thanos à Spook
La documentation en ligne partagée par la communauté de la cybersécurité a rapidement souligné un lien entre le ransomware Spook et le ransomware Thanos. Le fantôme ransomware group, comme de nombreux autres groupes cybercriminels, utilise des ransomwares générés automatiquement pour avoir un impact sur ses cibles. L’utilisation de générateurs de logiciels malveillants est assez courante dans l’écosystème cybercriminel. Il a deux avantages principaux : il permet de déléguer la complexité à un développeur plus qualifié et fait gagner beaucoup de temps lors de l’étape de militarisation d’une attaque.
Les exemples de ransomware Spook semblent avoir été créés par le constructeur Thanos. Ce constructeur est vendu sur des forums underground depuis fin 2019 d’après les informations que nous avons pu trouver sur ces forums.
Poste de vente Thanos (Source SEKOIA.IO)
Le constructeur propose le groupe ransomware une interface graphique simple où il peut personnaliser son ransomware.
Options du constructeur de ransomware Thanos, 2020. (Source : Recorded Future)
Le constructeur permet aux acteurs de la menace de créer un échantillon de ransomware personnalisé avec plusieurs options (trouvé dans la ressource une fois déchiffrée) :
- Contenu et nom de fichier des notes de rançon personnalisées
- Extensions de fichiers à chiffrer
- Extension à ajouter aux fichiers cryptés
- Adresse Bitcoin
- Changer le fond d’écran
- Fonctionnalités OPSEC multiples (obfuscation, kill defenders, anti-VM, etc.)
Ce rapport se concentre sur la version utilisée par le groupe de rançongiciels Spook. Néanmoins, les variantes d’autres groupes auront des fonctionnalités similaires.
Exécution du ransomware Spook
Pour atteindre ses objectifs, les échantillons Spook (et par extension, les autres ransomwares créés à l’aide du constructeur Thanos), effectuent plusieurs actions :
- Désactiver l’outil anti-ransomware Raccine
- Modifier la configuration de plusieurs services
- Définir la persistance
- Tuer les processus désignés dans le fichier de configuration
- Supprimer les clichés instantanés
- Chiffrer les fichiers
- Imprimer la note sur le ransomware
- Supprimer les artefacts
Ces actions sont effectuées à l’aide de commandes simples que l’on peut trouver dans le fichier de configuration à l’aide de l’outil créé par nos collègues lors de l’étape de réponse à l’incident.
Désactivation de l’outil anti-ransomware
Raccine Raccine (https://github.com/Neo23x0/Raccine) est un outil anti-ransomware simple et open-source. Il tue le processus qui tente de supprimer les clichés instantanés. C’est pourquoi il faut le désactiver avant de continuer. C’est un projet open source qui doit être utilisé avec prudence en production.
Voici quelques commandes simples utilisées par les exemples Thanos pour effectuer la désactivation de Raccine :
"taskkill" /F /IM RaccineSettings.exe
"reg" delete
"HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V
"Raccine Tray" /F
"reg" delete HKCU\Software\Raccine /F
"schtasks" /DELETE /TN "Raccine Rules Updater" /F
Arrêter les services
Le rançongiciel arrête plusieurs services à l’aide de trois outils : «sc.exe », « net.exe », et « taskill.exe ». Tous ces processus et services sont arrêtés pour assurer le cryptage des fichiers qui pourraient autrement être verrouillés en écriture.
"sc.exe" config FDResPub start= auto
"sc.exe" config Dnscache start= auto
"sc.exe" config SQLTELEMETRY start= disabled
"sc.exe" config SstpSvc start= disabled
"sc.exe" config SQLTELEMETRY$ECWDB2 start= disabled
"sc.exe" config SSDPSRV start= auto
"sc.exe" config upnphost start= auto
"sc.exe" config SQLWriter start= disabled
"net.exe" start Dnscache /y
"net.exe" stop bedbg /y
"net.exe" start FDResPub /y
"net.exe" stop MSSQL$SQL_2008 /y
"net.exe" start SSDPSRV /y
"net.exe" stop avpsus /y
"net.exe" stop NetBackup BMR MTFTP Service /y
"net.exe" stop BMR Boot Service /y
"net.exe" stop McAfeeDLPAgentService /y
"net.exe" stop MSSQL$SQLEXPRESS /y
…
"taskkill.exe" /IM mspub.exe /F
"taskkill.exe" /IM mspub.exe /F
"taskkill.exe" /IM synctime.exe /F
"taskkill.exe" /IM mydesktopqos.exe /F
"taskkill.exe" /IM Ntrtscan.exe /F
"taskkill.exe" /IM mysqld.exe /F
…
Définir la persistance
Les exemples Spook créent simplement un fichier .lnk dans un dossier de démarrage pour gagner en persistance sur les systèmes infectés.
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\reload1.lnk
Supprimer les copies
Pour s’assurer que la cible ne pourra pas restaurer ses fichiers, le rançongiciel essaiera de supprimer les Copies en exécutant cette commande PowerShell :
"powershell.exe" & Get-WmiObject Win32_Shadowcopy | ForEach-Object { $_Delete(); }
Cependant, l’échantillon Spook trouvé par nos collègues n’a pas réussi à supprimer le cliché instantané.
Crypter les fichiers
Le rançongiciel parcourt les lecteurs et crypte tous les fichiers contenant l’une des extensions spécifiées par l’utilisateur dans le constructeur. Le cryptage des fichiers est effectué à l’aide de l’algorithme AES-256 en mode CBC et la clé AES est protégée à l’aide d’une clé publique 2048 RSA. Un fait intéressant est que la clé AES peut être spécifiée au constructeur ou générée automatiquement lors de l’exécution. Si la clé est spécifiée, elle peut être récupérée dans l’exemple et utilisée pour déchiffrer les fichiers.
Nous avons vu un exemple de Spook ouvrir une fausse fenêtre de console pour demander à l’utilisateur d’attendre patiemment pendant son cryptage informatique. Cette fausse fenêtre est souvent utilisée par les samples créés par le récent groupe RobinHood.
Console « Please wait » ouverte par Spook, Source SEKOIA.IO
Imprimer le fichier de la rançon à l’utilisateur
À la fin de son exécution, le ransomware avertira l’utilisateur que les fichiers sur son ordinateur ont été cryptés de multiples façons. Le ransomware supprime plusieurs fichiers de rançon .txt et .hta. Il essaiera d’ouvrir le fichier .hta en utilisant « mshta.exe» ou le fichier .txt en utilisant « notepad.exe ». Il définira également une notification dans la barre de notification. Certains exemples tentent également d’imprimer la demande de rançon si une imprimante connectée est détectée.
"C:\Windows\System32\mshta.exe" C:\Users\Admin\Desktop\RESTORE_FILES_INFO.hta
Une note de Spook ransomware (Source SEKOIA.IO)
Supprimer le fichier exécutable
À la fin, le ransomware se supprimera en utilisant la cmd suivante commande.
"cmd.exe" /C ping 127.0.0.7 -n 3 > Nul & fsutil file setZeroData offset=0 length=524288 “%s” & Del /f /q “%s”
Cette commande est utilisée pour remplir le fichier avec des zéros pour s’assurer qu’il est irrécupérable. La même commande est utilisée par le rançongiciel LockBit selon cet article Fortinet.
"C:\Windows\System32\cmd.exe" "/C choice /C Y /N /D Y /T 3 & Del "C:\Users\Admin\AppData\Local\Temp\b256d10ea8b49cb596fa1dd7b9007b7d03debb3ad05b79c0de45401a82910e7e.exe
Notez que le fichier « cmd. exe » utilisées par l’exemple auront une mise en veille déguisée de 3 secondes :
- choice /C Y /N /D Y /T 3:Set a choice between one option “Y”, the choice is not printed to the user, the default response is “Y” and it waits 3 seconds before validating the default choice.
- ping 127.0.0.7 -n 3 > Nul:A ping with 3 packets whose result is ignored.
Contrairement à d’autres variantes, les exemples Spook ne semblent pas avoir la capacité d’exfiltrer des fichiers par eux-mêmes (le constructeur permet d’ajouter une fonctionnalité d’exfiltration via FTP).
L’exfiltration des données doit se faire à l’aide d’un autre outil tel que RClone. Mais la moitié des échantillons Spook connus essaient de télécharger PSexec pendant leur exécution comme l’atteste la réponse à l’incident dans la partie 1 du blog. Le rançongiciel Spook semble être plus simple que d’autres variantes, les capacités d’exfiltration et de mouvement latéral sont déléguées à d’autres outils.
Une autre différence entre Spook et les variantes plus anciennes (telles que celles de Prometheus) est que nous n’avons pas vu le rançongiciel Spook arrêter les services en utilisant « net.exe stop ». La plupart des échantillons de Spook n’ont pas la capacité de se propager sur le réseau, en modifiant les règles de pare-feu, en activant SMB et en se copiant en utilisant «l’utilisation du net» comme le pourrait Prometheus.
Prometheus est un groupe de rançongiciels qui était actif au début de 2021. Pour plus de détails, vous pouvez lire le rapport Cybereason sur Prometheus. Ce qui y est décrit sur le constructeur de Thanos correspond à ce que nous avons pu observer.
1.2 Échantillons de différents acteurs de la menace
À partir des échantillons Spook qui nous ont été fournis, nous avons commencé à rechercher des fichiers similaires en utilisant les règles YARA et d’autres pivots sur les bases de données de logiciels malveillants. Cette montre nous a permis de trouver de nombreux échantillons de Thanos provenant de plusieurs groupes.
rule ransomware_win_thanos { meta: version = "2" malware = "Thanos" description = "Detect the ransomware from the Thanos builder" source = "SEKOIA.IO" creation_date = "2021-06-07" strings: $s1 = "$F935DC23-1CF0-11D0-ADB9-00C04FD58A0B" ascii $s2 = "b__" ascii condition: uint16(0)==0x5A4D and filesize < 600KB and $s1 and #s2 == 3 }
Comme Thanos est un ransomware prêt à l’emploi, il n’est pas surprenant qu’il soit utilisé par de nombreux groupes. Voici une liste des groupes qui utilisent le constructeur Thanos :
Name | Note file name | Encrypted file’s extension | Estimated period of activity | Double extorsion |
---|---|---|---|---|
Thanos | RESTORE_FILES_INFO.txt | .cryptedrandom string | Yes | |
Hakbit | HOW_TO_RECOVER_YOUR_FILES.txtHELP_ME_RECOVER_MY_FILES.txtHELP_ME_MY_FILES_NOT_MAKE_PUBLIC.txt | .[<victim_id>].[<email_addr>].CRYSTAL.VIPxxx | 04/2020 – 05/2020 | |
Abarcy | Abarcy#2996.txt | .abarcy | ||
Hard | RESTORE_FILES_INFO.txt | .hard | ||
Milleni5000 | RESTORE_FILES_INFO.txt | .secure | ||
Ravack | HELP_ME_RECOVER_MY_FILES.txt | .ravack | ||
Energy | HOW_TO_DECYPHER_FILES.txt | .energy[potentialenergy@mail.ru] | ||
josephnull | HOW_TO_DECYPHER_FILES.hta | .crypted | 07/2020 | |
Alumni | HOW_TO_RECOVER_YOUR_FILES.txt | .alumni | ||
Prometheus | RESTORE_FILES_INFO.txt | .[<victim_id>].PROM[<email_addr>].<victim_id>[<email_addr>] | 01/2021 – 05/2021 | Yes |
RecoveryGroup | RESTORE_FILES_INFO.txt | .<victim_name> | 03/2021 – 08/2021 | |
Haron | RESTORE_FILES_INFO.txt | .<victim_name> | 07/2021 | Yes |
Undetermined russian speaking group | Инструкция.txt | none | ||
pingp0ng | decrypt_info.txt | .[<victim_id>].<email_addr>].noname | ||
@Online7_365 | decrypt_info.txt | .[<victim_id>].[<email_addr>].boooom.[<victim_id>].[<email_addr>].helpme | 08/2021 – 12/2021 | |
Spook | RESTORE_FILES_INFO.txt | .<victim_id> | 09/2021 – 10/2021 | Yes |
RobinHood | RESTORE_FILES_INFO.txt | .<victim_id> | 10/2021 – current | Yes |
Steroik | RESTORE_FILES_INFO.txt | .<victim_id> | 10/2021 | |
Midas | RESTORE_FILES_INFO.txt | .newwave | 12/2021 | Yes |
Cette liste est la suite du travail de Cybereason par le point de vue de SEKOIA.IO sur l’utilisation du constructeur Thanos. Il n’est pas exhaustif. Nous avons trouvé de nombreux échantillons de Thanos que nous n’avons pas pu attribuer à un groupe de rançongiciels de renom.
Comme nous pouvons le voir, le constructeur Thanos est utilisé par de dangereux groupes de double extorsion ainsi que par des script kiddies. La plupart d’entre eux semblent utiliser les configurations par défaut ou les configurations courantes sur le nom de la note de rançon et l’extension de fichier cryptée, ce qui les rend peu utilisables pour l’attribution. Cependant, le contenu de la note de rançon nous mène généralement au groupe des rançongiciels.
2. Contexte actuel des ransomwares
2.1 Qui était le groupe de ransomwares Spook ?
Le groupe de rançongiciels Spook a fonctionné entre septembre 2021 et octobre 2021. Il utilise le constructeur Thanos décrit précédemment pour générer un échantillon Spook avec le message de rançon suivant :
YOUR COMPANY WAS HACKED AND COMPROMISED!!! All your important files have been encrypted! Our encryption algorithms are very strong and your files are very well protected, the only way to get your files back is to cooperate with us and get the decrypter program. Do not try to recover your files without a decrypter program, you may damage them and then they will be impossible to recover. ________________________________________________________________________________ For us this is just business and to prove to you our seriousness, we will decrypt you three files for free. Just open our website, upload the encrypted files and get the decrypted files for free. _______________________________________________________________________________ ! WARNING ! Whole your network was fully COMPROMISED! We has DOWNLOADED of your PRIVATE SENSITIVE Data, including your Billing info, Insuranse cases, Financial reports, Business audit, Banking Accounts! Also we have corporate correspondence, information about your clients. We got even more info about your partners and even about your staff. Additionally, you must know that your sensitive data has been stolen by our analyst experts and if you choose to no cooperate with us, you are exposing yourself to huge penalties with lawsuits and government if we both don't find an agreement. We have seen it before cases with multi million costs in fines and lawsuits, not to mention the company reputation and losing clients trust and the medias calling non-stop for answers. Come chat with us and you could be surprised on how fast we both can find an agreement without getting this incident public. ________________________________________________________________________________ IF YOU ARE AN EMPLOYER OF A COMPANY THEN YOU SHOULD KNOW THAT SPREADING SENSITIVE INFORMATION ABOUT YOUR COMPANY BEING COMPROMISED IS A VIOLATION OF CONFIDENTIALITY. YOUR COMPANY'S REPUTATION WILL SUFFER AND SANCTIONS WILL BE TAKEN AGAINST YOU. ________________________________________________________________________________ WE HIGHLY SUGGEST THAT YOU DON'T CONTACT THE AUTHORITIES REGARDING THIS INCIDENT BECAUSE IF YOU DO, THEN AUTHORITIES WILL MAKE THIS PUBLIC WHICH COMES WITH A COST FOR YOUR ENTERPRISE. THE RECOVERY PROCESS OF YOUR FILES WILL BE FASTER IF YOU COME AND CHAT WITH US EARLY. IF YOU CHOOSE TO COOPERATE, YOU WILL SEE THAT WE ARE PROFESSIONALS WHO GIVES GOOD SUPPORT. Instructions for contacting us: ________________________________________________________________________________ You have way: 1) Using a TOR browser! a. Download and install TOR browser from this site: https://torproject.org/ b. Open the Tor browser. Copy the link: http://spookuhvfyxzph54ikjfwf2mwmxt572krpom7reyayrmxbkizbvkpaid.onion/chat.php?track=754WRBXZ24 and paste it in the Tor browser. c. Start a chat and follow the further instructions. Key Identifier: …
Ce message contient de multiples erreurs d’anglais, qui peuvent s’expliquer puisque le constructeur est vendu sur des forums russophones.
Comme vous pouvez le voir, le groupe a pratiqué la double extorsion. Les données des organisations ciblées ont été publiées sur un site Web sur les fuites d’oignons. Il est intéressant de noter que le site de Spook et celui de l’ancien groupe de rançongiciels Prometheus sont très similaires :
Écran du site de Prometheus, Source : Cyble
De plus, selon le blog de S2W, un ancien fichier lié à une victime de Prometheus a été retrouvé dans l’exact même emplacement sur le serveur Spook WordPress.
Durant sa courte période d’activité, le groupe de rançongiciels Spook a annoncé avoir touché 38 organisations, toutes publiées sur son site internet entre le 26 septembre 2021 et le 19 octobre 2021.
Pendant cette période et selon les déclarations du groupe, la France était le pays le plus touché, avec 9 entreprises visées (ce qui représente 23,7 % de toutes les attaques connues).
Pays les plus touchés par les campagnes connues du rançongiciel Spook
Les secteurs les plus touchés sont la finance, la fabrication et la vente au détail.
2.2 Multiplication des groupes de rançongiciels – où se situent les frontières entre eux ?
Selon nos observations, les constructeurs de ransomware sont régulièrement partagés sur de nombreux forums de piratage. Très souvent, c’est le développeur lui-même qui partage ou vend un builder, ou bien le code source du ransomware est divulgué par des tiers.
Exemple d’un constructeur de ransomware publié sur un forum de piratage
Dans tous les cas, les kits de construction permettent aux pirates de créer des ransomware, avec la possibilité de créer de nombreuses variantes avec des configurations différentes pour chaque campagne.
Les ransomware générés sont donc plus susceptibles d’échapper à la détection, et l’attribution devient beaucoup plus difficile.
Il n’est pas rare de voir des acteurs de la menace au sein de l’industrie des ransomware être impliqués dans plusieurs groupes ou projets de ransomware. Pour cette raison, l’accent est de plus en plus mis sur les affiliés ou les opérateurs de ransomware, plutôt que sur des groupes clairement séparés.
3. Conclusion
Publié sur les forums de piratage en février 2020, le constructeur Thanos est toujours utilisé par de nombreux acteurs de ransomware, avec des degrés d’expérience divers, pour développer de nouvelles variantes de logiciels malveillants et mener des campagnes malveillantes.
Dans cet article de blog, nous avons analysé l’un des derniers ransomware développés avec le constructeur Thanos.
Compte tenu de la courte période d’activité de Spook, d’un grand nombre de victimes, et de ce qui a été observé par nos confrères lors de la réponse à l’incident, nous pensons que l’ancien groupe Prometheus a acquis des accès multiples en utilisant les services d’un courtier d’accès et a recréé un arsenal rapide en utilisant le builder Thanos pour monétiser ces accès.
4. Annexes
4.1 Cartographie MITRE ATT&CK
ID | technique Nom |
T1583.003 | Acquérir une infrastructure : serveur privé virtuel |
T1588.001 | Obtenir des fonctionnalités : logiciels malveillants |
T1078 | Comptes valides |
T1027 | Fichiers ou informations |
obscurcis T1140 | Désobscurcir/décoder des fichiers ou des informations |
T1059.001 Interpréteur de | commandes et de scripts : PowerShell |
T1059.003 Interpréteur de | commandes et de scripts : Shell de commandes Windows |
T1112 | Modifier le registre |
T1547.001 Exécution du | démarrage ou de la connexion au démarrage automatique : Clés d’exécution du registre / Dossier de démarrage |
T1562.001 Altération des | Désactiver ou modifier |
les outils | :Pare |
T1570 | Transfert d’outil latéral |
T1071 | Protocole de la couche application |
T1489 | Arrêt du service |
T1490 | Inhibition de la récupération |
T1016 | Découverte |
T1083 | fichiers et des répertoires |
T1486 Chiffrement des | données pour impact |
T1070.003 | Suppression de l’indicateur sur l’hôte : Effacer l’historique des commandes |
T1070.004 | Suppression de l’indicateur sur l’hôte : Suppression de fichiers |
4.2 YARA Rules
rule ransomware_win_thanos {
meta:
version = "2"
malware = "Thanos"
description = "Detect the ransomware from the Thanos builder"
source = "SEKOIA"
creation_date = "2021-06-07"
strings:
$s1 = "$F935DC23-1CF0-11D0-ADB9-00C04FD58A0B" ascii
$s2 = "b__" ascii
condition:
uint16(0)==0x5A4D and filesize < 600KB and $s1 and #s2 == 3
}
4.3 Indicateurs
SHA256 | Attribution |
ce686daaf9d97fb2c42d9789d19f1dbdb81d1b45851cf3d9e67f46b578365764 | |
d11fca3f8e2be9c5926e5e87f06dca48a19156c3296a589131d86f9a5d6fbc8f | |
4984825fb21206a2f2df5d2c84794f0ac4edea3c48d32e9284338d7082d55024 | Hakbit |
edcac243808957cc898d4a08a8b0d5eaf875f5f439a3ca0acfaf84522d140e7e | |
34b93f1989b272866f023c34a2243978565fcfd23869cacc58ce592c1c545d8e | Hakbit |
6a5090762c6058bc223e37e89f53832faad80995e3c5ed7e59ed9f5a5e604e47 | |
28a0fd7612bea3f286e5ff4e7b109dcaf46f9defed663af50d20a0b2086e13ac | |
5d40615701c48a122e44f831e7c8643d07765629a83b15d090587f469c77693d | |
1d4db8733c5f11ee8fca530aeb4a91069de04b1af64cbe1fa3ae2d3572a6e554 | Prometheus |
1c3ecb9ea4d4690c7a96581aa25d26f02392fe6a104b61c2fcd0a68bde11f8d2 | |
936a35ca214e9be1438c67a1153c854c28054994ce43f1eed39bb9dc52cb54dd | |
9bf0633f41d2962ba5e2895ece2ef9fa7b546ada311ca30f330f0d261a7fb184 | Prometheus |
8d268be58a27d2c980b807ffe703ea28b0fd0cd1ba2e455902faebe9ec17c52e | RecoveryGroup |
899f48bad035165acf8869af63922619f8a901bbeb8a7fc13919ba90dd9e7768 | |
8a4a038a965ba42a0442d44abf25e4d21f5049d4a4a8aa9cb6691ec4282814a1 | |
52f7f9e8369a3e89899d40e89766c9642b137b25bfd58a2b564dac67a40445f3 | Prometheus |
11aebdff8c064c160c2b21f3a844bacaecd581d9dc2e4224d31903d2a56e2dd3 | Prometheus |
8c723af5c826adea162ef3f2e37a1cca7b43d549c9a5fab7c9ff17f65eb5d8e7 | Prometheus |
ef97bf49a9bd00a994143852590cc3a2d20227e510dc2b5968704d8f100b4d3c | RecoveryGroup |
3605b9af44b153ef39a5bbe6d98ab8e6ef58b1f0f1c76eca4a3fb9b9a4042605 | |
7891062da6c81bf31c740f9c33aac10224104bf2f6ab6bdf9c1e3895d07011ed | |
3c3a8067481153f82f3fb4d967c44cd735e635f75bb417e1f94492ee02df145a | filerestore000 |
8dab7d5add0f7ca61c5f3bc6aae6dea30086ea3e0719d302748234b3ac4e31f8 | Prometheus |
4852f22df095db43f2a92e99384ff7667020413e74f67fcbd42fca16f8f96f4c | RecoveryGroup |
caf815381680cfa6afedcd7c7af5a5c838788b1c7ec593ce817114a25ab63441 | RecoveryGroup |
81411c9010f2adcb4758bac5ed6128d5a76b24689d477f6ed2c3003fd57e4f3b | RecoveryGroup |
81411c9010f2adcb4758bac5ed6128d5a76b24689d477f6ed2c3003fd57e4f3b | RecoveryGroup |
66ed5384220ff3091903e14a54849f824fdd13ac70dc4e0127eb59c1de801fc2 | Haron |
6e6b78a1df17d6718daa857827a2a364b7627d9bfd6672406ad72b276014209c | Haron |
cbdb04d23e395b270e16d7ca81cc6b734039fa069932989d4e4f4d4d266df28b | Haron |
f261d0283d9f1e346a648537b859570741c52be11b95e527a108037d71363327 | |
c6d7c39e83f12684cc9341305044fb03a61d23876d37746d96d31a9191bacb8f | |
34de4b269fe0721f4323dc549545fa5575a1bd5178174d382d0cee730eac5d89 | |
fb17fb6e1e71c92d2ae5a06363886ea71d614e2603706d38ca8ebbc56d3dc120 | RecoveryGroup |
eb2ed1680e9b2350d78f431849a9e8c5c1d91d97ae72767d228b2208e6f72f46 | Streriok |
7f56c9ac52ad69fc02e73b653384a07397571ed12673c6eacd9ed574d371975f | |
bb744238e99e7654395a3c19fb4d491fffcdcd7a96c914f898a649ca39f11a33 | @Online7_365 |
e5d4335e72a6d1cad51de1f30dbb29c4942fa5574891cd0b0ed35a252b088028 | Skull |
2c6802679ce8ac5ed90bd25d25805e284c7dd5269f7805c68cc5fd965a0adc21 | |
84a47f4362ecaa832b466a392a827f77471fa4056e9e538c727aff4a6a6b48b4 | Spook |
e347fd231a543a5dfd53b01ff0bc67b2bf37593e7ddc036f15bac8ad92f0d707 | Spook |
8dad29bd09870ab9cacfdea9e7ab100d217ff128aea64fa4cac752362459991c | Spook |
d991aa2b1fad608b567be28e2d13d3d4f48eea3dea8f5d51a8e42aa9a2637426 | |
32ec78179b1516765fd2ec4da82404352cb6837a906c7493283ef578930273e6 | Spook |
869d05fe732ff419731def3140634df40e887d821430e46d17b1e3703c63b6cf | Spook |
b9018a268cf70981051bfdfa58cfa98c9dd222c17d9188b811b5660a3c2c59de | Spook |
44edca2989cfa4ba819191b70323fe5f83e300dd0c2e66abb42f1f9ca831f29b | Spook |
0ed55db21a1a5eeca96605f870cb6d4ddf1277e1e257371e75d6ee9e1507b216 | Spook |
b256d10ea8b49cb596fa1dd7b9007b7d03debb3ad05b79c0de45401a82910e7e | Spook |
5ee42cc91ee256752213dbd7525816273a29257df0c52984865b7c34c51df1a2 | MedusaLocker |
720f92a0233c07cfdafca70dc95b841682fdefd434835eca106c308f1dc8dc50 | KukaJamba |
d4820f3c561fd274c69d01c9446951fca10291f728ab0ead0537a4eabd0f4b1d | RobinHood |
80379b9640f070381ef346cc2998a127abf3e75de6339801e415734140186fa0 | |
c841ca56516b51ffa4b808209cad755960dd07ae0ce13c73a85cf635d076a7f5 | @Online7_365 |
20fa2538c879182151b86f35518d90952e24acd7078f84a4a01850e780574201 | @Online7_365 |
e64edc53f3457a0608354c18f398787fc2d281a9f4246724d2d73d9ddc34a861 | |
74a717027b6212236662bf641c473b8f8cd65486898b02940357bb9b3035f38a | |
ca729ac6a7a2dbf47191c1a30d6aea9f3d8580c1e146a7a2b70858e7c61ea686 | |
d6a68bf279f5e39d52b518a4b925361325376b276052379c7ac700fd7c8dae5b | |
21bcf864de80dc43669a1e6ad68ab5959f9e4c258b9ea2043a229cdb7343d095 | |
6f08e40dd82613ecc87195778aaced37960609935b47cc45cc499f10cf57f685 | RobinHood |
7b6a67b6de160992ade99643e4f82fbe55c9122bd3db3e586ecd215033d3c838 | @Online7_365 |
0a66157cca6b9aa3c3de9c76d55638f438c63b9d7189d41a8eb8da02ce1371b5 | RobinHood |
43f627c288a92f89d6c089480faf9a5d2b935c5c1796e5776a01ed18cf4aa857 | RobinHood |
c76c9ad75741a9d0f9fe66ba41f6fdfd67ad0ebe6cf354e75c420648ddb6ca9f | |
575d1ef0e51fbe96e7454b8f06b60118faf3e4ed7ef0f98908d0fcca6c0a9b82 | Midas |
e9d0ee963a1463694686ea347989ef9c80cb06f91602ccbcde178e04a6062509 | |
40eafc1053e4b93ac0767032e3df1d65bd839f4bf6d7f239c72e1bab862e6d48 | KukaJamba |
aa207e58d8f8c2e48b10bd86b0cc1e6fc9edba51b57ab29fde7052840ac2b8b8 | RobinHood |
fc0341bde264eead7433140738cc1088a9b02e6d6bfc6a51a80af9602e7ab3e7 | RobinHood |
7eba89ee9f4ce6fad19f7e86cdf076456beb89f9f5a731380f352b54e120952b | RobinHood |
08d6b4739df157c6cf8a767267b86c77de44db881500ffdc4e709dd0de1c3d9a | RobinHood |
5. Sources
- https://medium.com/walmartglobaltech/decoding-smartassembly-strings-a-haron-ransomware-case-study-9d0c5af7080b
- https://securityintelligence.com/posts/ransomware-encryption-goes-wrong/
- https://www.cybereason.com/blog/cybereason-vs.-prometheus-ransomware
- https://www.recordedfuture.com/thanos-ransomware-builder/
- https://medium.com/s2wblog/prometheus-x-spook-prometheus-ransomware-rebranded-spook-ransomware-6f93bd8ab5dd
Échangez avec l’équipe
Vous souhaitez en savoir plus sur nos solutions de protection ? Vous voulez découvrir nos produits de XDR et de CTI ? Vous avez un projet de cybersécurité dans votre organisation ? Prenez rendez-vous et rencontrons-nous !
Lire aussi sur le blog :
- Raccoon Stealer v2 – Partie 1 : De retour des morts
- Le paysage des menaces ransomware observé par SEKOIA.IO durant le 1ᵉʳ semestre 2022
- Lapsus$ : quand les enfants jouent dans la cour des grands
- The story of a ransomware builder: from Thanos to Spook and beyond (Part 2)
- The story of a ransomware builder: from Thanos to Spook and beyond (Part 1)