CyberRansomware

Le ransomware Redeemer est de retour !

Une nouvelle version du Ransomware as a Service (RaaS) Redeemer a été lancée plus tôt cet été. Ce constructeur de ransomware est devenu populaire en juin 2021 lorsque son créateur a publié la version 1.0 du code de programmation sur un forum.

Sommaire

À propos de Redeemer 2.0

Redeemer se distingue des autres RaaS car il est gratuit et accessible à tous. Son auteur, Cerebrate, a conçu le « produit » de manière à recevoir 20 % de la rançon versée à un affilié ayant utilisé Redeemer. En effet, pour inverser le processus de chiffrement en cas de paiement de la rançon par la victime, l’affilié aura besoin d’une combinaison de la clé maîtresse (fournie par l’auteur, Cerebrate) et de sa propre clé privée.

Redeemer est accessible sur un site du dark web Dread. Après s’être exécuté avec des privilèges d’administrateur et avoir chiffré les fichiers des victimes avec une extension .redeem, une note de rançon demandant un paiement en crypto-monnaie Monero est générée.

La récente version 2.0 comporte une nouvelle interface graphique permettant à l’affilié de construire l’exécutable du ransomware et l’outil de déchiffrement, ainsi qu’un système de suivi des campagnes, tandis que toutes les instructions relatives à son utilisation sont incluses dans un ZIP.

Détecter Redeemer avec la TEHTRIS XDR Platform

La boîte à outils Redeemer étant librement accessible, n’importe qui – même avec de faibles compétences en piratage – peut participer à l’extorsion en utilisant le chiffrage. Cela constitue en soi une menace pour les entités qui ne sont pas suffisamment protégées, comme c’est souvent le cas dans le secteur vital des la santé ou pour les petites entreprises ayant un budget serré à allouer à la cybersécurité.

Pour répondre aux besoins des petites et moyennes entreprises afin de se défendre contre les cybermenaces agressives, TEHTRIS OPTIMUS offre une détection et une protection 100% « online » pour des ordinateurs et des serveurs, avec un déploiement simplifié et rapide tout en garantissant une sécurité performante.

TEHTRIS OPTIMUS combine les fonctionnalités EDR (Endpoint Detection and Response) et NGAV (Next Generation AntiVirus) pour détecter et neutraliser les menaces connues et inconnues en temps réel, sans aucune interaction humaine. Cette technologie comprend un agent unique avec des pré-configurations, peut être déployée en peu de temps et offre une expérience utilisateur optimisée.

Comment TEHTRIS EDR protège-t-il les appareils contre une menace comme Redeemer ?

Analyse dynamique de TEHTRIS : Renseignement sur les cybermenaces

L’utilisation d’une solution de sécurité sur tous les terminaux – en plus de sensibiliser le personnel à la cybersécurité et de s’assurer que les sauvegardes hors ligne sont tenues à jour – est essentielle pour prévenir une attaque d’un ransomware comme Redeemer.

Tout fichier exécuté sur un appareil protégé par TEHTRIS EDR (Endpoint Detection Response) est automatiquement analysé dans la base de données TEHTRIS Cyber Threat Intelligence.

TEHTRIS CTI est à la fois une base de connaissances et un outil d’analyse des logiciels malveillants doté d’une intelligence artificielle, de capacités d’analyse statique et dynamique, ainsi que d’un lien direct et sécurisé avec une base de données externe. Si un logiciel malveillant comme Redeemer est lancé sur une machine, il sera identifié comme hautement dangereux et déclenchera immédiatement une alerte (et neutralisera instantanément le processus si le système EDR est en mode remédiation).

Analysis of Redeemer’s SHA256 dans TEHTRIS CTI

L’analyse dynamique de TEHTRIS Sandbox a permis de détecter plusieurs comportements à risque, tels que la technique d’exécution Shared Modules pour exécuter des charges utiles malveillantes (T1129 dans la matrice ATT&CK de MITRE), le contournement de la détection en recourrant au Software Packing pour modifier la signature du fichier (T1027.002) puis en le déchiffrant (T1140), ou l’obfuscation du trafic vers le seveur de commande et de contrôle (C&C) pour le rendre plus difficile à détecter (T1001).

Isoler une machine infectée avec TEHTRIS SOAR

Une autre couche de protection offerte par la TEHTRIS XDR Platform est la mise en place d’un playbook sur le SOAR (Security Orchestration Automation and Response). Étant donné qu’un ransomware utilise le mouvement latéral pour accéder à des données de grande valeur dans un réseau compromis, le SOAR permet d’isoler automatiquement un dispositif pour empêcher la menace de se propager à l’ensemble du réseau, tout en gardant un œil sur les événements qui se produisent sur la machine infectée grâce à TEHTRIS XDR.

Dans le cas de Redeemer, un playbook sur mesure a pu être mis en œuvre avec les caractéristiques suivantes – après une phase de test pour s’assurer qu’il ne déclenche pas de faux positifs :

Le scénario commence par une requête Lucene qui prend en compte les spécificités de Redeemer (telles que les noms des fichiers et des dossiers dans lesquels le malware se copie sur la machine de la victime, les lignes de commande que Redeemer utilise pour supprimer les  clichés instantanés , le catalogue de sauvegarde et les sauvegardes de l’état du système avant le chiffrage pour empêcher la restauration pour la victime…). Si les conditions de la requête sont remplies, une action automatique isolera le périphérique du réseau après avoir enregistré une cartographie des connexions réseau et des processus en cours d’exécution du terminal. Les résultats seront alors disponibles dans l’onglet Alerts and Events.

Ces indicateurs permettront de recueillir des informations pour l’enquête sur l’incident.

Comme pour Redeemer 1.0, l’auteur a annoncé que la version 2.0 « passera en opensource » s’il venait à « se désintéresser », ce qui créerait de nouvelles opportunités pour les cybercriminels peu qualifiés.

Il est crucial d’anticiper ce type d’attaques : effectuer des sauvegardes hors ligne régulières, mettre à jour les systèmes et utiliser une protection de cybersécurité sont des mesures impératives pour se protéger des opérations RaaS.

TEHTRIS protège votre entreprise des menaces connues et inconnues en neutralisant automatiquement et en temps réel les ransomwares et les attaques de type 0-days. Nos solutions sont modulaires et peuvent être déployées individuellement ou dans une suite au sein de la plateforme TEHTRIS XDR.

https://www.bleepingcomputer.com/news/security/new-redeemer-ransomware-version-promoted-on-hacker-forums/ (21/07/22)
https://blog.cyble.com/2022/07/20/redeemer-ransomware-back-action/  (20/07/22)
TEHTRIS Threat Research weekly feed for customers (05/08/22)