Le LockFile est une nouveauté utilisée par les cybergang pour répandre un ransomware exploitant les vulnérabilités Windows ProxyShel. Il utilise différentes techniques d’évitement pour berner les systèmes de protection, dont celle du chiffrement intermittent.
Qu’est-ce que le ransomware LockFile ?
Apparu cette année, le ransomware LockFile est la nouvelle technique utilisée par les cybercriminels afin d’éviter la détection par les solutions anti-malwares. Il se diffuse de plus en plus depuis le mois de juillet et touche un nombre important de victimes. En fait, le ransomware se sert des failles récentes ([Exchange Server et PetitPotam] et utilise des astuces diverses pour rendre sa détection plus difficile. C’est le cas par exemple du « Chiffrement intermittent », une technique découverte par les experts de Sophos. Cette formule consiste à chiffrer un bout de données à l’intérieur du fichier et en accélère le chiffrement.
Un chiffrement intermittent amélioré
Le chiffrement intermittent est une véritable nouveauté selon les experts de Sophos, c’est pourquoi LockFile n’hésite pas de revisiter des techniques ayant déjà fait leurs preuves. Contrairement aux autres ransomwares tels que BlackMatter, DarkSide ou encore LockBit 2.0, LockFile emploie une approche différente.
Dans le cas du chiffrement intermittent, les données restent exposées. Les Ransomwares n’ont besoin de crypter qu’une partie du fichier pour le rendre inutilisable par l’utilisateur.
La procédure LockFile est de crypter un fichier en part. Cela se traduit par une suite de fichier crypté puis non crypté tous les 16 octets qui permet de fausser le l’analyse statistique.
Les techniques d’évitement utilisé par LockFile
L’évitement commence par son propre fichier. Pour déjouer les solutions de sécurité, le fichier du LockFile a été conçu de sorte que celui-ci soit à la fois encapsulé et malformé. Pour ce faire, il est composé d’une première section remplie de zéros, suivis par une deuxième section contenant des données codées. C’est grâce à trois fonctions situées en dernière position que la deuxième section est décodée. Ce qui les place dans la première section pour finalement exécuter le code.
Afin de débloquer les verrous des environnements informatiques tels que les bases de données, les machines virtuelles ou encore les fichiers de configuration, LockFile utilisent l’interface de gestion Windows WMI. Il recherche et supprime les processus importants associés aux applications métiers, c’est le cas des VM Hyper-V et VMware, les environnements Oracle [VM Virtual Box, MTS Recovery Service, le kernel RDBMS, TNS Listener], et également des SQL Server de Microsoft ainsi que la base de données MySQL.
Pour duper les systèmes de protection, LockFile utilise une autre astuce. Il s’agit cette fois-ci de son mode opératoire. Au lieu de modifier directement le fichier sur le disque, il le mappe tout d’abord dans la mémoire RAM du système. Une fois la modification effectuée, il se sert du processus du système Windows afin de valider les modifications sur le disque. Ces actions apparaissent alors comme étant des opérations d’entrée/sorties effectuées par l’OS et ne sont nullement considérées comme un processus potentiellement suspect.