Détection du Ransomware FONIX en tant que Service

Une autre plateforme de Ransomware as a Service se prépare à jouer un jeu à haut risque avec les organisations. Les chercheurs de Sentinel Labs ont découvert les premières attaques utilisant la plateforme FONIX il y a environ trois mois. Maintenant, cette plateforme RaaS est encore en cours de développement actif, mais leurs premiers clients essaient déjà leurs capacités. Jusqu’à présent, FONIX est assez peu pratique à utiliser, son processus de chiffrement est plutôt lent, mais le ransomware est mal détecté par la plupart des solutions de sécurité. Et cette dernière qualité peut compenser les principaux inconvénients. De plus, obtenir un échantillon malveillant et l’utiliser lors d’une attaque est complètement gratuit : les auteurs de FONIX recevront 25 % du montant du paiement de la rançon plus tard.

Ransomware FONIX lent mais efficace

La lenteur du chiffrement est due au fait que lors d’une attaque, il chiffre non pas certains types de fichiers, mais en général tout sauf les fichiers système critiques. Un autre facteur ralentissant l’attaque est l’utilisation d’un mélange de protocoles de chiffrement (Chacha, AES, Salsa20 et AES) lors du processus de chiffrement. Peut-être que cette approche montre l’inexpérience des auteurs dans ce domaine, qui sacrifient la vitesse pour la garantie que les victimes ne peuvent pas déchiffrer les données par elles-mêmes. Les chercheurs supposent que des adversaires ont été impliqués dans le développement de crapoteurs binaires.

Communications par email et exfiltration de fichiers

Contrairement à la plupart des plateformes RaaS, FONIX n’a pas de tableau de bord pour suivre et gérer les campagnes malveillantes. Au lieu de cela, ses auteurs travaillent sur des services de messagerie pour anonymiser les communications avec les victimes (peut-être aussi pour suivre l’activité des affiliés). Mais pour l’instant, les affiliés sont obligés d’utiliser des services de messagerie tiers pour les communications, se mettant ainsi en danger. Pour tester le déchiffrement des fichiers et obtenir un décrypteur après avoir reçu une rançon, les cybercriminels sont contraints de se tourner vers les auteurs du ransomware, ce qui comporte également des risques supplémentaires.
Il est notable que lors des attaques détectées, les affiliés n’aient pas volé les données afin que la menace de divulgation pousse la victime à payer une rançon. Mais cela indique plutôt l’inexpérience des attaquants, et des cybercriminels chevronnés peuvent très bien exfiltrer des informations sensibles avant de chiffrer les systèmes.

Jusqu’à présent, il n’y a eu aucune attaque médiatique utilisant ce ransomware, et pour qu’elles ne se produisent jamais, Osman Demir a développé la règle de chasse aux menaces communautaire pour la détecter : https://tdm.socprime.com/tdm/info/YYuWsuf9iDSA/CEPBDHUBR-lx4sDxrTcs/

La règle a des traductions pour les plateformes suivantes :

SIEM : ArcSight, QRadar, Splunk, Graylog, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR : Elastic Endpoint

MITRE ATT&CK :

Tactiques : Impact, Persistance

Techniques : Données chiffrées pour Impact (T1486), Clés de registre / Dossier de démarrage (T1060)

Prêt à essayer le SOC Prime Threat Detection Marketplace ? Inscrivez-vous gratuitement. Ou rejoignez le Threat Bounty Program pour créer votre propre contenu et le partager avec la communauté du Threat Detection Marketplace.