L’histoire d’un constructeur de ransomware : de Thanos à Spook et au-delà (Partie 2)

Dans un article de blog intitulé « L’histoire d’un constructeur de ransomware : de Thanos à Spook et au-delà (Partie 1) », nos confrères du CERT-SEKOIA ont décrit la résultats de la réponse à un incident sur une attaque de ransomware Spook. Nous avons repris puis enquêté sur le builder Thanos utilisé par le groupe éphémère Spook et bien d’autres groupes.

1.1 De Thanos à Spook

La documentation en ligne partagée par la communauté de la cybersécurité a rapidement souligné un lien entre le ransomware Spook et le ransomware Thanos. Le fantôme ransomware group, comme de nombreux autres groupes cybercriminels, utilise des ransomwares générés automatiquement pour avoir un impact sur ses cibles. L’utilisation de générateurs de logiciels malveillants est assez courante dans l’écosystème cybercriminel. Il a deux avantages principaux : il permet de déléguer la complexité à un développeur plus qualifié et fait gagner beaucoup de temps lors de l’étape de militarisation d’une attaque.

Les exemples de ransomware Spook semblent avoir été créés par le constructeur Thanos. Ce constructeur est vendu sur des forums underground depuis fin 2019 d’après les informations que nous avons pu trouver sur ces forums.

Poste de vente Thanos (Source SEKOIA.IO)

Le constructeur propose le groupe ransomware une interface graphique simple où il peut personnaliser son ransomware.

Options du constructeur de ransomware Thanos, 2020. (Source : Recorded Future)

Le constructeur permet aux acteurs de la menace de créer un échantillon de ransomware personnalisé avec plusieurs options (trouvé dans la ressource une fois déchiffrée) :

• Contenu et nom de fichier des notes de rançon personnalisées
• Extensions de fichiers à chiffrer
• Extension à ajouter aux fichiers cryptés
• Adresse Bitcoin
• Changer le fond d’écran
• Fonctionnalités OPSEC multiples (obfuscation, kill defenders, anti-VM, etc.)

Ce rapport se concentre sur la version utilisée par le groupe de rançongiciels Spook. Néanmoins, les variantes d’autres groupes auront des fonctionnalités similaires.

Exécution du ransomware Spook

Pour atteindre ses objectifs, les échantillons Spook (et par extension, les autres ransomwares créés à l’aide du constructeur Thanos), effectuent plusieurs actions :

• Désactiver l’outil anti-ransomware Raccine
• Modifier la configuration de plusieurs services
• Définir la persistance
• Tuer les processus désignés dans le fichier de configuration
• Supprimer les clichés instantanés
• Chiffrer les fichiers
• Imprimer la note sur le ransomware
• Supprimer les artefacts

Ces actions sont effectuées à l’aide de commandes simples que l’on peut trouver dans le fichier de configuration à l’aide de l’outil créé par nos collègues lors de l’étape de réponse à l’incident.

Désactivation de l’outil anti-ransomware

Raccine Raccine (https://github.com/Neo23x0/Raccine) est un outil anti-ransomware simple et open-source. Il tue le processus qui tente de supprimer les clichés instantanés. C’est pourquoi il faut le désactiver avant de continuer. C’est un projet open source qui doit être utilisé avec prudence en production.

Voici quelques commandes simples utilisées par les exemples Thanos pour effectuer la désactivation de Raccine :

"taskkill" /F /IM RaccineSettings.exe 
"reg" delete
"HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V 
"Raccine Tray" /F 
"reg" delete HKCU\Software\Raccine /F 
"schtasks" /DELETE /TN "Raccine Rules Updater" /F

Arrêter les services

Le rançongiciel arrête plusieurs services à l’aide de trois outils : «sc.exe », « net.exe », et « taskill.exe ». Tous ces processus et services sont arrêtés pour assurer le cryptage des fichiers qui pourraient autrement être verrouillés en écriture.

"sc.exe" config FDResPub start= auto
"sc.exe" config Dnscache start= auto
"sc.exe" config SQLTELEMETRY start= disabled
"sc.exe" config SstpSvc start= disabled
"sc.exe" config SQLTELEMETRY$ECWDB2 start= disabled
"sc.exe" config SSDPSRV start= auto
"sc.exe" config upnphost start= auto
"sc.exe" config SQLWriter start= disabled

"net.exe" start Dnscache /y
"net.exe" stop bedbg /y
"net.exe" start FDResPub /y
"net.exe" stop MSSQL$SQL_2008 /y
"net.exe" start SSDPSRV /y
"net.exe" stop avpsus /y
"net.exe" stop NetBackup BMR MTFTP Service /y
"net.exe" stop BMR Boot Service /y
"net.exe" stop McAfeeDLPAgentService /y
"net.exe" stop MSSQL$SQLEXPRESS /y
…

"taskkill.exe" /IM mspub.exe /F
"taskkill.exe" /IM mspub.exe /F
"taskkill.exe" /IM synctime.exe /F
"taskkill.exe" /IM mydesktopqos.exe /F
"taskkill.exe" /IM Ntrtscan.exe /F
"taskkill.exe" /IM mysqld.exe /F
…

Définir la persistance

Les exemples Spook créent simplement un fichier .lnk dans un dossier de démarrage pour gagner en persistance sur les systèmes infectés.

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\reload1.lnk

Supprimer les copies

Pour s’assurer que la cible ne pourra pas restaurer ses fichiers, le rançongiciel essaiera de supprimer les Copies en exécutant cette commande PowerShell :

"powershell.exe" & Get-WmiObject Win32_Shadowcopy | ForEach-Object { $_Delete(); }

Cependant, l’échantillon Spook trouvé par nos collègues n’a pas réussi à supprimer le cliché instantané.

Crypter les fichiers

Le rançongiciel parcourt les lecteurs et crypte tous les fichiers contenant l’une des extensions spécifiées par l’utilisateur dans le constructeur. Le cryptage des fichiers est effectué à l’aide de l’algorithme AES-256 en mode CBC et la clé AES est protégée à l’aide d’une clé publique 2048 RSA. Un fait intéressant est que la clé AES peut être spécifiée au constructeur ou générée automatiquement lors de l’exécution. Si la clé est spécifiée, elle peut être récupérée dans l’exemple et utilisée pour déchiffrer les fichiers.

Nous avons vu un exemple de Spook ouvrir une fausse fenêtre de console pour demander à l’utilisateur d’attendre patiemment pendant son cryptage informatique. Cette fausse fenêtre est souvent utilisée par les samples créés par le récent groupe RobinHood.

Console « Please wait » ouverte par Spook, Source SEKOIA.IO

Imprimer le fichier de la rançon à l’utilisateur

À la fin de son exécution, le ransomware avertira l’utilisateur que les fichiers sur son ordinateur ont été cryptés de multiples façons. Le ransomware supprime plusieurs fichiers de rançon .txt et .hta. Il essaiera d’ouvrir le fichier .hta en utilisant « mshta.exe» ou le fichier .txt en utilisant « notepad.exe ». Il définira également une notification dans la barre de notification. Certains exemples tentent également d’imprimer la demande de rançon si une imprimante connectée est détectée.

"C:\Windows\System32\mshta.exe" 
C:\Users\Admin\Desktop\RESTORE_FILES_INFO.hta

Une note de Spook ransomware (Source SEKOIA.IO)

Supprimer le fichier exécutable

À la fin, le ransomware se supprimera en utilisant la cmd suivante commande.

"cmd.exe" /C ping 127.0.0.7 -n 3 > Nul & fsutil file setZeroData offset=0 length=524288 “%s” & Del /f /q “%s”

Cette commande est utilisée pour remplir le fichier avec des zéros pour s’assurer qu’il est irrécupérable. La même commande est utilisée par le rançongiciel LockBit selon cet article Fortinet.

"C:\Windows\System32\cmd.exe" "/C choice /C Y /N /D Y /T 3 & Del  "C:\Users\Admin\AppData\Local\Temp\b256d10ea8b49cb596fa1dd7b9007b7d03debb3ad05b79c0de45401a82910e7e.exe

Notez que le fichier « cmd. exe » utilisées par l’exemple auront une mise en veille déguisée de 3 secondes :

• choice /C Y /N /D Y /T 3:Set a choice between one option “Y”, the choice is not printed to the user, the default response is “Y” and it waits 3 seconds before validating the default choice.
• ping 127.0.0.7 -n 3 > Nul:A ping with 3 packets whose result is ignored.

Contrairement à d’autres variantes, les exemples Spook ne semblent pas avoir la capacité d’exfiltrer des fichiers par eux-mêmes (le constructeur permet d’ajouter une fonctionnalité d’exfiltration via FTP).

L’exfiltration des données doit se faire à l’aide d’un autre outil tel que RClone. Mais la moitié des échantillons Spook connus essaient de télécharger PSexec pendant leur exécution comme l’atteste la réponse à l’incident dans la partie 1 du blog. Le rançongiciel Spook semble être plus simple que d’autres variantes, les capacités d’exfiltration et de mouvement latéral sont déléguées à d’autres outils.

Une autre différence entre Spook et les variantes plus anciennes (telles que celles de Prometheus) est que nous n’avons pas vu le rançongiciel Spook arrêter les services en utilisant « net.exe stop ». La plupart des échantillons de Spook n’ont pas la capacité de se propager sur le réseau, en modifiant les règles de pare-feu, en activant SMB et en se copiant en utilisant «l’utilisation du net» comme le pourrait Prometheus.

Prometheus est un groupe de rançongiciels qui était actif au début de 2021. Pour plus de détails, vous pouvez lire le rapport Cybereason sur Prometheus. Ce qui y est décrit sur le constructeur de Thanos correspond à ce que nous avons pu observer.

1.2 Échantillons de différents acteurs de la menace

À partir des échantillons Spook qui nous ont été fournis, nous avons commencé à rechercher des fichiers similaires en utilisant les règles YARA et d’autres pivots sur les bases de données de logiciels malveillants. Cette montre nous a permis de trouver de nombreux échantillons de Thanos provenant de plusieurs groupes.

rule ransomware_win_thanos {
    meta:
   	 version = "2"
   	 malware = "Thanos"
   	 description = "Detect the ransomware from the Thanos builder"
   	 source = "SEKOIA.IO"
   	 creation_date = "2021-06-07"
   	 
    strings:
   	 $s1 = "$F935DC23-1CF0-11D0-ADB9-00C04FD58A0B" ascii
   	 $s2 = "b__" ascii
   	 
    condition:
   	 uint16(0)==0x5A4D and filesize < 600KB and $s1 and #s2 == 3
}

Comme Thanos est un ransomware prêt à l’emploi, il n’est pas surprenant qu’il soit utilisé par de nombreux groupes. Voici une liste des groupes qui utilisent le constructeur Thanos :

Name	Note file name	Encrypted file’s extension	Estimated period of activity	Double extorsion
Thanos	RESTORE_FILES_INFO.txt	.cryptedrandom string		Yes
Hakbit	HOW_TO_RECOVER_YOUR_FILES.txtHELP_ME_RECOVER_MY_FILES.txtHELP_ME_MY_FILES_NOT_MAKE_PUBLIC.txt	.[<victim_id>].[<email_addr>].CRYSTAL.VIPxxx	04/2020 – 05/2020
Abarcy	Abarcy#2996.txt	.abarcy
Hard	RESTORE_FILES_INFO.txt	.hard
Milleni5000	RESTORE_FILES_INFO.txt	.secure
Ravack	HELP_ME_RECOVER_MY_FILES.txt	.ravack
Energy	HOW_TO_DECYPHER_FILES.txt	.energy[potentialenergy@mail.ru]
josephnull	HOW_TO_DECYPHER_FILES.hta	.crypted	07/2020
Alumni	HOW_TO_RECOVER_YOUR_FILES.txt	.alumni
Prometheus	RESTORE_FILES_INFO.txt	.[<victim_id>].PROM[<email_addr>].<victim_id>[<email_addr>]	01/2021 – 05/2021	Yes
RecoveryGroup	RESTORE_FILES_INFO.txt	.<victim_name>	03/2021 – 08/2021
Haron	RESTORE_FILES_INFO.txt	.<victim_name>	07/2021	Yes
Undetermined russian speaking group	Инструкция.txt	none
pingp0ng	decrypt_info.txt	.[<victim_id>].<email_addr>].noname
@Online7_365	decrypt_info.txt	.[<victim_id>].[<email_addr>].boooom.[<victim_id>].[<email_addr>].helpme	08/2021 – 12/2021
Spook	RESTORE_FILES_INFO.txt	.<victim_id>	09/2021 – 10/2021	Yes
RobinHood	RESTORE_FILES_INFO.txt	.<victim_id>	10/2021 – current	Yes
Steroik	RESTORE_FILES_INFO.txt	.<victim_id>	10/2021
Midas	RESTORE_FILES_INFO.txt	.newwave	12/2021	Yes

Cette liste est la suite du travail de Cybereason par le point de vue de SEKOIA.IO sur l’utilisation du constructeur Thanos. Il n’est pas exhaustif. Nous avons trouvé de nombreux échantillons de Thanos que nous n’avons pas pu attribuer à un groupe de rançongiciels de renom.

Comme nous pouvons le voir, le constructeur Thanos est utilisé par de dangereux groupes de double extorsion ainsi que par des script kiddies. La plupart d’entre eux semblent utiliser les configurations par défaut ou les configurations courantes sur le nom de la note de rançon et l’extension de fichier cryptée, ce qui les rend peu utilisables pour l’attribution. Cependant, le contenu de la note de rançon nous mène généralement au groupe des rançongiciels.

2. Contexte actuel des ransomwares 

2.1 Qui était le groupe de ransomwares Spook ?

Le groupe de rançongiciels Spook a fonctionné entre septembre 2021 et octobre 2021. Il utilise le constructeur Thanos décrit précédemment pour générer un échantillon Spook avec le message de rançon suivant :

YOUR COMPANY WAS HACKED AND COMPROMISED!!! 

All your important files have been encrypted! Our encryption algorithms are very strong and your files are very well protected, the only way to get your files back is to cooperate with us and get the decrypter program. 

Do not try to recover your files without a decrypter program, you may damage them and then they will be impossible to recover. 
________________________________________________________________________________

For us this is just business and to prove to you our seriousness, we will decrypt you three files for free. Just open our website, upload the encrypted files and get the decrypted files for free. _______________________________________________________________________________

! WARNING ! 

Whole your network was fully COMPROMISED! 

We has DOWNLOADED of your PRIVATE SENSITIVE Data, including your Billing info, Insuranse cases, Financial reports, Business audit, Banking Accounts! Also we have corporate correspondence, information about your clients. We got even more info about your partners and even about your staff. 

Additionally, you must know that your sensitive data has been stolen by our analyst experts and if you choose to no cooperate with us, you are exposing yourself to huge penalties with lawsuits and government if we both don't find an agreement. We have seen it before cases with multi million costs in fines and lawsuits, not to mention the company reputation and losing clients trust and the medias calling non-stop for answers. Come chat with us and you could be surprised on how fast we both can find an agreement without getting this incident public. 
________________________________________________________________________________

IF YOU ARE AN EMPLOYER OF A COMPANY THEN YOU SHOULD KNOW THAT SPREADING SENSITIVE INFORMATION ABOUT YOUR COMPANY BEING COMPROMISED IS A VIOLATION OF CONFIDENTIALITY. YOUR COMPANY'S REPUTATION WILL SUFFER AND SANCTIONS WILL BE TAKEN AGAINST YOU. 
________________________________________________________________________________

WE HIGHLY SUGGEST THAT YOU DON'T CONTACT THE AUTHORITIES REGARDING THIS INCIDENT BECAUSE IF YOU DO, THEN AUTHORITIES WILL MAKE THIS PUBLIC WHICH COMES WITH A COST FOR YOUR ENTERPRISE. THE RECOVERY PROCESS OF YOUR FILES WILL BE FASTER IF YOU COME AND CHAT WITH US EARLY. IF YOU CHOOSE TO COOPERATE, YOU WILL SEE THAT WE ARE PROFESSIONALS WHO GIVES GOOD SUPPORT. 

Instructions for contacting us: 
________________________________________________________________________________

You have way: 
1) Using a TOR browser! 
a. Download and install TOR browser from this site: https://torproject.org/ 
b. Open the Tor browser. Copy the link: http://spookuhvfyxzph54ikjfwf2mwmxt572krpom7reyayrmxbkizbvkpaid.onion/chat.php?track=754WRBXZ24 and paste it in the Tor browser. 
c. Start a chat and follow the further instructions. 

Key Identifier: 
…

Ce message contient de multiples erreurs d’anglais, qui peuvent s’expliquer puisque le constructeur est vendu sur des forums russophones.

Comme vous pouvez le voir, le groupe a pratiqué la double extorsion. Les données des organisations ciblées ont été publiées sur un site Web sur les fuites d’oignons. Il est intéressant de noter que le site de Spook et celui de l’ancien groupe de rançongiciels Prometheus sont très similaires :

Écran du site de Prometheus, Source : Cyble

De plus, selon le blog de S2W, un ancien fichier lié à une victime de Prometheus a été retrouvé dans l’exact même emplacement sur le serveur Spook WordPress.

Durant sa courte période d’activité, le groupe de rançongiciels Spook a annoncé avoir touché 38 organisations, toutes publiées sur son site internet entre le 26 septembre 2021 et le 19 octobre 2021.

Pendant cette période et selon les déclarations du groupe, la France était le pays le plus touché, avec 9 entreprises visées (ce qui représente 23,7 % de toutes les attaques connues).

Pays les plus touchés par les campagnes connues du rançongiciel Spook

Les secteurs les plus touchés sont la finance, la fabrication et la vente au détail.

2.2 Multiplication des groupes de rançongiciels – où se situent les frontières entre eux ?

Selon nos observations, les constructeurs de ransomware sont régulièrement partagés sur de nombreux forums de piratage. Très souvent, c’est le développeur lui-même qui partage ou vend un builder, ou bien le code source du ransomware est divulgué par des tiers.

Exemple d’un constructeur de ransomware publié sur un forum de piratage

Dans tous les cas, les kits de construction permettent aux pirates de créer des ransomware, avec la possibilité de créer de nombreuses variantes avec des configurations différentes pour chaque campagne.

Les ransomware générés sont donc plus susceptibles d’échapper à la détection, et l’attribution devient beaucoup plus difficile.

Il n’est pas rare de voir des acteurs de la menace au sein de l’industrie des ransomware être impliqués dans plusieurs groupes ou projets de ransomware. Pour cette raison, l’accent est de plus en plus mis sur les affiliés ou les opérateurs de ransomware, plutôt que sur des groupes clairement séparés.

3. Conclusion

Publié sur les forums de piratage en février 2020, le constructeur Thanos est toujours utilisé par de nombreux acteurs de ransomware, avec des degrés d’expérience divers, pour développer de nouvelles variantes de logiciels malveillants et mener des campagnes malveillantes.

Dans cet article de blog, nous avons analysé l’un des derniers ransomware développés avec le constructeur Thanos.

Compte tenu de la courte période d’activité de Spook, d’un grand nombre de victimes, et de ce qui a été observé par nos confrères lors de la réponse à l’incident, nous pensons que l’ancien groupe Prometheus a acquis des accès multiples en utilisant les services d’un courtier d’accès et a recréé un arsenal rapide en utilisant le builder Thanos pour monétiser ces accès.

4. Annexes

4.1 Cartographie MITRE ATT&CK

ID	technique Nom
T1583.003	Acquérir une infrastructure : serveur privé virtuel
T1588.001	Obtenir des fonctionnalités : logiciels malveillants
T1078	Comptes valides
T1027	Fichiers ou informations
obscurcis T1140	Désobscurcir/décoder des fichiers ou des informations
T1059.001 Interpréteur de	commandes et de scripts : PowerShell
T1059.003 Interpréteur de	commandes et de scripts : Shell de commandes Windows
T1112	Modifier le registre
T1547.001 Exécution du	démarrage ou de la connexion au démarrage automatique : Clés d’exécution du registre / Dossier de démarrage
T1562.001 Altération des	Désactiver ou modifier
les outils	:Pare
T1570	Transfert d’outil latéral
T1071	Protocole de la couche application
T1489	Arrêt du service
T1490	Inhibition de la récupération
T1016	Découverte
T1083	fichiers et des répertoires
T1486 Chiffrement des	données pour impact
T1070.003	Suppression de l’indicateur sur l’hôte : Effacer l’historique des commandes
T1070.004	Suppression de l’indicateur sur l’hôte : Suppression de fichiers

4.2 YARA Rules

rule ransomware_win_thanos {
    meta:
   	 version = "2"
   	 malware = "Thanos"
   	 description = "Detect the ransomware from the Thanos builder"
   	 source = "SEKOIA"
   	 creation_date = "2021-06-07"
   	 
    strings:
   	 $s1 = "$F935DC23-1CF0-11D0-ADB9-00C04FD58A0B" ascii
   	 $s2 = "b__" ascii
   	 
    condition:
   	 uint16(0)==0x5A4D and filesize < 600KB and $s1 and #s2 == 3
}

4.3 Indicateurs

SHA256	Attribution
ce686daaf9d97fb2c42d9789d19f1dbdb81d1b45851cf3d9e67f46b578365764
d11fca3f8e2be9c5926e5e87f06dca48a19156c3296a589131d86f9a5d6fbc8f
4984825fb21206a2f2df5d2c84794f0ac4edea3c48d32e9284338d7082d55024	Hakbit
edcac243808957cc898d4a08a8b0d5eaf875f5f439a3ca0acfaf84522d140e7e
34b93f1989b272866f023c34a2243978565fcfd23869cacc58ce592c1c545d8e	Hakbit
6a5090762c6058bc223e37e89f53832faad80995e3c5ed7e59ed9f5a5e604e47
28a0fd7612bea3f286e5ff4e7b109dcaf46f9defed663af50d20a0b2086e13ac
5d40615701c48a122e44f831e7c8643d07765629a83b15d090587f469c77693d
1d4db8733c5f11ee8fca530aeb4a91069de04b1af64cbe1fa3ae2d3572a6e554	Prometheus
1c3ecb9ea4d4690c7a96581aa25d26f02392fe6a104b61c2fcd0a68bde11f8d2
936a35ca214e9be1438c67a1153c854c28054994ce43f1eed39bb9dc52cb54dd
9bf0633f41d2962ba5e2895ece2ef9fa7b546ada311ca30f330f0d261a7fb184	Prometheus
8d268be58a27d2c980b807ffe703ea28b0fd0cd1ba2e455902faebe9ec17c52e	RecoveryGroup
899f48bad035165acf8869af63922619f8a901bbeb8a7fc13919ba90dd9e7768
8a4a038a965ba42a0442d44abf25e4d21f5049d4a4a8aa9cb6691ec4282814a1
52f7f9e8369a3e89899d40e89766c9642b137b25bfd58a2b564dac67a40445f3	Prometheus
11aebdff8c064c160c2b21f3a844bacaecd581d9dc2e4224d31903d2a56e2dd3	Prometheus
8c723af5c826adea162ef3f2e37a1cca7b43d549c9a5fab7c9ff17f65eb5d8e7	Prometheus
ef97bf49a9bd00a994143852590cc3a2d20227e510dc2b5968704d8f100b4d3c	RecoveryGroup
3605b9af44b153ef39a5bbe6d98ab8e6ef58b1f0f1c76eca4a3fb9b9a4042605
7891062da6c81bf31c740f9c33aac10224104bf2f6ab6bdf9c1e3895d07011ed
3c3a8067481153f82f3fb4d967c44cd735e635f75bb417e1f94492ee02df145a	filerestore000
8dab7d5add0f7ca61c5f3bc6aae6dea30086ea3e0719d302748234b3ac4e31f8	Prometheus
4852f22df095db43f2a92e99384ff7667020413e74f67fcbd42fca16f8f96f4c	RecoveryGroup
caf815381680cfa6afedcd7c7af5a5c838788b1c7ec593ce817114a25ab63441	RecoveryGroup
81411c9010f2adcb4758bac5ed6128d5a76b24689d477f6ed2c3003fd57e4f3b	RecoveryGroup
81411c9010f2adcb4758bac5ed6128d5a76b24689d477f6ed2c3003fd57e4f3b	RecoveryGroup
66ed5384220ff3091903e14a54849f824fdd13ac70dc4e0127eb59c1de801fc2	Haron
6e6b78a1df17d6718daa857827a2a364b7627d9bfd6672406ad72b276014209c	Haron
cbdb04d23e395b270e16d7ca81cc6b734039fa069932989d4e4f4d4d266df28b	Haron
f261d0283d9f1e346a648537b859570741c52be11b95e527a108037d71363327
c6d7c39e83f12684cc9341305044fb03a61d23876d37746d96d31a9191bacb8f
34de4b269fe0721f4323dc549545fa5575a1bd5178174d382d0cee730eac5d89
fb17fb6e1e71c92d2ae5a06363886ea71d614e2603706d38ca8ebbc56d3dc120	RecoveryGroup
eb2ed1680e9b2350d78f431849a9e8c5c1d91d97ae72767d228b2208e6f72f46	Streriok
7f56c9ac52ad69fc02e73b653384a07397571ed12673c6eacd9ed574d371975f
bb744238e99e7654395a3c19fb4d491fffcdcd7a96c914f898a649ca39f11a33	@Online7_365
e5d4335e72a6d1cad51de1f30dbb29c4942fa5574891cd0b0ed35a252b088028	Skull
2c6802679ce8ac5ed90bd25d25805e284c7dd5269f7805c68cc5fd965a0adc21
84a47f4362ecaa832b466a392a827f77471fa4056e9e538c727aff4a6a6b48b4	Spook
e347fd231a543a5dfd53b01ff0bc67b2bf37593e7ddc036f15bac8ad92f0d707	Spook
8dad29bd09870ab9cacfdea9e7ab100d217ff128aea64fa4cac752362459991c	Spook
d991aa2b1fad608b567be28e2d13d3d4f48eea3dea8f5d51a8e42aa9a2637426
32ec78179b1516765fd2ec4da82404352cb6837a906c7493283ef578930273e6	Spook
869d05fe732ff419731def3140634df40e887d821430e46d17b1e3703c63b6cf	Spook
b9018a268cf70981051bfdfa58cfa98c9dd222c17d9188b811b5660a3c2c59de	Spook
44edca2989cfa4ba819191b70323fe5f83e300dd0c2e66abb42f1f9ca831f29b	Spook
0ed55db21a1a5eeca96605f870cb6d4ddf1277e1e257371e75d6ee9e1507b216	Spook
b256d10ea8b49cb596fa1dd7b9007b7d03debb3ad05b79c0de45401a82910e7e	Spook
5ee42cc91ee256752213dbd7525816273a29257df0c52984865b7c34c51df1a2	MedusaLocker
720f92a0233c07cfdafca70dc95b841682fdefd434835eca106c308f1dc8dc50	KukaJamba
d4820f3c561fd274c69d01c9446951fca10291f728ab0ead0537a4eabd0f4b1d	RobinHood
80379b9640f070381ef346cc2998a127abf3e75de6339801e415734140186fa0
c841ca56516b51ffa4b808209cad755960dd07ae0ce13c73a85cf635d076a7f5	@Online7_365
20fa2538c879182151b86f35518d90952e24acd7078f84a4a01850e780574201	@Online7_365
e64edc53f3457a0608354c18f398787fc2d281a9f4246724d2d73d9ddc34a861
74a717027b6212236662bf641c473b8f8cd65486898b02940357bb9b3035f38a
ca729ac6a7a2dbf47191c1a30d6aea9f3d8580c1e146a7a2b70858e7c61ea686
d6a68bf279f5e39d52b518a4b925361325376b276052379c7ac700fd7c8dae5b
21bcf864de80dc43669a1e6ad68ab5959f9e4c258b9ea2043a229cdb7343d095
6f08e40dd82613ecc87195778aaced37960609935b47cc45cc499f10cf57f685	RobinHood
7b6a67b6de160992ade99643e4f82fbe55c9122bd3db3e586ecd215033d3c838	@Online7_365
0a66157cca6b9aa3c3de9c76d55638f438c63b9d7189d41a8eb8da02ce1371b5	RobinHood
43f627c288a92f89d6c089480faf9a5d2b935c5c1796e5776a01ed18cf4aa857	RobinHood
c76c9ad75741a9d0f9fe66ba41f6fdfd67ad0ebe6cf354e75c420648ddb6ca9f
575d1ef0e51fbe96e7454b8f06b60118faf3e4ed7ef0f98908d0fcca6c0a9b82	Midas
e9d0ee963a1463694686ea347989ef9c80cb06f91602ccbcde178e04a6062509
40eafc1053e4b93ac0767032e3df1d65bd839f4bf6d7f239c72e1bab862e6d48	KukaJamba
aa207e58d8f8c2e48b10bd86b0cc1e6fc9edba51b57ab29fde7052840ac2b8b8	RobinHood
fc0341bde264eead7433140738cc1088a9b02e6d6bfc6a51a80af9602e7ab3e7	RobinHood
7eba89ee9f4ce6fad19f7e86cdf076456beb89f9f5a731380f352b54e120952b	RobinHood
08d6b4739df157c6cf8a767267b86c77de44db881500ffdc4e709dd0de1c3d9a	RobinHood

5. Sources

• https://medium.com/walmartglobaltech/decoding-smartassembly-strings-a-haron-ransomware-case-study-9d0c5af7080b
• https://securityintelligence.com/posts/ransomware-encryption-goes-wrong/
• https://www.cybereason.com/blog/cybereason-vs.-prometheus-ransomware
• https://www.recordedfuture.com/thanos-ransomware-builder/
• https://medium.com/s2wblog/prometheus-x-spook-prometheus-ransomware-rebranded-spook-ransomware-6f93bd8ab5dd

Lire aussi sur le blog :

• Raccoon Stealer v2 – Partie 1 : De retour des morts
• Le paysage des menaces ransomware observé par SEKOIA.IO durant le 1ᵉʳ semestre 2022
• Lapsus$ : quand les enfants jouent dans la cour des grands
• The story of a ransomware builder: from Thanos to Spook and beyond (Part 2)
• The story of a ransomware builder: from Thanos to Spook and beyond (Part 1)