Rançongiciel

Click, Clock... Analyse des TTPs du ransomware Cloak

Le Blavec Erwan
Analyste - OWN-CERT
19/4/2024
Avec cet article, OWN fournit des éléments techniques et contextuels sur l’acteur du rançongiciel Cloak et dresse ainsi un état de la menace le concernant.OWN Security

KEY TAKEWAYS

A l’issue de nos investigations, plusieurs points essentiels sont à retenir :

• Cloak est l’héritier de ARCrypter

• Cloak s’est fait remarquer par une grande campagne en août 2023, date d'apparition du ransomware

• Cloak utilise Neshta en droppeur/worm

• Les revendications de victimes sont faites sur un rythme "aléatoire" (rien entre septembre et novembre puis en décembre 10 revendications)

• Cloak utilise le levier de culpabilisation au RGPD dans la note de rançon.

A PROPOS DE CLOAK

Le groupe Cloak, aussi connu sous le nom de « GoodDay », est un groupe de cybercriminels actif depuis août 2023 ciblant essentiellement des machines sous Microsoft Windows. Leur but est d’infecter le système de la victime afin d’y déposer un rançongiciel et obtenir un paiement de la part des victimes.

Bien que le groupe fût un des plus actifs lors de sa découverte (24 revendications pour le mois d’août 2023), ce groupe publie les données de ses victimes sur son blog de manière plus ou moins aléatoire. On peut remarquer un pic d’activité du groupe en décembre (10 victimes dans le mois). Entre décembre 2023 et début février 2024 seules trois revendications ont été effectuées par le groupe.

Cloak utilise sur plusieurs victimes une technique de double extorsion. C’est-à-dire que le groupe exfiltre les données des machines compromises de la victime avant le chiffrement et les poste ensuite sur un site-vitrine en .onion (capture d’écran ci-dessous).

Capture d’écran du site de Cloak.
Source  : OWN-CERT

Le nom des organisations ayant récemment été victimes du rançongiciel n’est que partiellement révélé. Le nom des organisations touchées il y a plus longtemps et qui n’ont pas payé la rançon est diffusé en entier.

Cloak utilise un système de double rançon particulier :

• Premier cas : la victime a été touchée par le rançongiciel récemment.
Quand on essaie d’interagir avec la donnée via le bouton « view more », un nom d’utilisateur et un mot de passe est demandé : la donnée n’est pas consultable.

• Second cas : la victime a été touchée par le rançongiciel il y a plus longtemps et n’a pas payé la rançon.
La donnée est consultable par tous.

•Troisième cas : la donnée est vendue.
La donnée indique « Sold » sur le site et le bouton « view more » a disparu (capture d’écran ci-dessous). Il est possible que la donnée ait été vendue à des tiers via des forums cybercriminels ou que la victime ait payée la rançon.

Capture d’écran du site de Cloak.
Source  : OWN-CERT

Une des raisons probables pour lesquelles Cloak ne publie ni le nom du site des organisations ayant été attaquées récemment ni leurs données est d’utiliser le RGPD comme levier de pression supplémentaire afin d’inciter la victime à payer la rançon. En effet, la note de rançon présente la mention suivante : « You will be subject to huge fines from the government. You can learn more about liability for data loss here: https://en.wikipedia.org/wiki/General_Data_Protection_Regulation https://gdpr-info.eu/ ».

Ainsi en ne dévoilant pas le contenu des données volées ni le nom de l’organisation, cette dernière peut être plus encline à payer la rançon afin de protéger ses intérêts financiers et réputationnels.

Capture d’écran de la note de rançon.
Source : OWN-CERT


Des avertissements concernant les éventuelles conséquences pour la victime si cette dernière ne paie pas la rançon sont également présents dans la note [1]. 

Une des tactiques intéressantes utilisées par Cloak est la création d’un panneau de chat unique par victime. La victime se rend sur l’URL indiquée dans la note de rançon et peut rentrer un identifiant et un mot de passe propre à l’échantillon ayant infecté son système.

COMMENTAIRE
Cette tactique est de plus en plus utilisée par les groupes d’attaquants lors des négociations avec les victimes. Cela permet au groupe de limiter sa surface d’exposition, essentiellement concernant les portefeuilles de paiement potentiellement transmis à la victime. (Commentaire concernant le panneau de chat unique.)

Un chat est ensuite ouvert entre la victime et le groupe Cloak [2]. La victime est accueillie avec un « Good Day !» ce qui explique un des noms du groupe.

Capture d’écran du login sur le panneau de chat.
Source : SentinelOne

Enfin, le groupe précise que s’il y a un problème avec le système de chat il est possible de le contacter par courriel via l’adresse « MikLYmAklY555[@]cock[.]li ». Cette adresse a déjà été observée dans d’autres campagnes telles que Astralocker ou Babuk afin d’y servir de point de contact.

Il est probable que cette adresse soit un service de contact centralisé que certains opérateurs du rançongiciel utiliseraient.

TACTIQUES, TECHNIQUES ET PROCEDURES

ACCES INITIAL

Deux techniques d’accès initial ont été observées concernant le rançongiciel Cloak.

• La première technique a été identifiée dans la télémétrie de CyberInt : il s’agit du recours à des courtiers d’accès initiaux (Initial Access Brokers).

Une partie des victimes du groupe Cloak auraient vu des données d’accès être mises en vente [3], notamment à la suite de campagnes des voleurs d’information RedLine, Lumma ou encore Aurora.

Il est probable qu’une fois la connexion réussie sur un compte compromis le groupe cherche à gagner un accès à un compte d’administration avec une attaque par force brute.

• La seconde technique consiste à exploiter une vulnérabilité sur un équipement d’extrémité vulnérable et ensuite d’effectuer une attaque par force brute en ciblant le compte RDP de l’administrateur.

Une fois l’accès au compte de l’administrateur obtenu par Cloak, le logiciel AnyDesk est installé afin de pouvoir effectuer des actions d’administration à distance.

Il est très probable que l’exécutable contenant la charge utile malveillante soit téléchargé via ce logiciel.

Diagramme résumant la phase d’accès initial.
Source : OWN-CERT

ANALYSE DU MALICIEL

Le maliciel analysé essaye de se faire passer pour l’exécutable « WindowsUpdate.exe » afin de ne pas éveiller les soupçons des administrateurs systèmes ou des analystes en sécurité de la victime.

Une fois exécuté, le maliciel dépose deux exécutables sur le système :

• La charge utile du rançongiciel.

• Le maliciel « Neshta » développé en Delphi. Celui-ci sert d’injecteur pour la charge utile du rançongiciel.

La charge utile est créée dans le chemin « C:\Users\Admin\AppData\Local\Temp\sample.exe » et l’infecteur de fichiers dans le chemin « C:\Windows\svchost.com ».

ANALYSE DE NESHTA‍

Le ver Neshta a été découvert au début des années 2000. 

Le OWN-CERT estime avec une confiance forte que ce logiciel malveillant est d'origine biélorusse. Il a la capacité de se propager sur un ou plusieurs systèmes grâce à sa capacité de réplication sur des supports amovibles et de s'injecter dans des exécutables légitimes[4].

Dans le cas présent, Neshta se copie dans :

« %Temp%\3582-490\<filename> »

Et il injecte un code malveillant dans tous les exécutables présents dans le dossiers ProgramFiles, Temp ou Windows. A chaque fois qu'un exécutable est lancé, le code malveillant est aussitôt exécuté. Ici, le code malveillant injecté est le code du rançongiciel.

Neshta est ensuite déposé dans le chemin « C:\Windows\svchost.com » et une clé de registre est modifiée :

CLE DE REGISTRE MODIFIEE

Clé de registre : HKLM\SOFTWARE\Classes\exefile\shell\open\command - Valeur: %SystemRoot%\svchost.com "%1" %*

Cette modification permet à Neshta de se lancer à chaque fois qu’un exécutable est lancé sur le système.

Une fois les exécutables du système infectés et la clé de registre modifiée, Nestha écrit et exécute un fichier dans le chemin « C:\\Users\\Admin\\AppData\\Local\\Temp\\[0-9]{6}.exe ». Ce fichier est la charge utile du rançongiciel.

La capacité d’infection de Nestha lui permet comme indiqué dans l’introduction de cette partie de se répliquer. Dans le cas présent, par exemple, où la machine victime est connectée à un lecteur partagé, Neshta possède la capacité de corrompre les exécutables présents sur ce volume. Le simple lancement d’un binaire infecté par Neshta peut provoquer le chiffrement total de ce volume.

Une fois que le rançongiciel a terminé de chiffrer les fichiers, que le processus est arrêté et que le fichier batch s’est auto supprimé, Neshta supprime à son tour l’exécutable de la charge utile.

EXECUTION DE LA CHARGE UTILE

Une fois exécutée par l’injecteur, la charge utile crée une clé de registre :
C:\Windows\system32\cmd.exe/c reg add hklm\Software\Microsoft\Windows\CurrentVersion\Run /v SecurityUpdate/t REG_EXPAND_SZ /d C:\Users\Admin\AppData\Local\Temp\sample.exe /f (Commande lancée par Cloak pour modifier la clé de registre. Source : OWN-CERT.)

Une fois la commande exécutée, une notification apparaît sur l’écran signalant un dysfonctionnement de la mise à jour du système. Cette notification ne peut pas être fermée en cliquant sur la croix, et dans le cas où la victime clique sur « fermer le programme » l’exécutable sample.exe se lance à nouveau.

Notification de dysfonctionnement.
Source : OWN-CERT

Cette clé de registre permet de lancer la charge utile lors de la connexion d’un utilisateur et donc d’être persistante sur le système en cas de redémarrage de la machine pendant l’exécution de la charge utile.

ANALYSE DU FICHIER BATCH

Une fois la persistance de la charge utile obtenue, un fichier batch est déposé sur le système dans le chemin « C:\ProgramData\Microsoft\Settings\sample.bat ».

Le contenu de ce fichier est le suivant :
@ECHO OFF SET X=0 :BEGIN TASKLIST |>NUL FINDSTR /B /L /I /C:payload.exe || SET X=1 TASKLIST |>NUL FINDSTR /B /L /I /C:payload.exe || START /b "" cmd /c "C:\Users\Admin\AppData\Local\Temp\payload.exe" IF %X% EQU 0 (TIMEOUT /T 1 /NOBREAK>NUL) ELSE (START /b "" cmd /c DEL "%~f0"&EXIT /b) GOTO :BEGINUsers\Admin\AppData\Local\Temp\payload.exe /f (Commande lancée par Cloak pour modifier la clé de registre. Source : OWN-CERT.)

Ce script batch s’assure que la charge utile est bien en cours d’exécution. Dans le cas contraire la charge utile est relancée et le script batch s’auto supprime afin d’éviter de créer des doublons sur le système.

ANALYSE DE LA CHARGE UTILE

La charge utile effectue ensuite des actions malveillantes sur le système.

Cette dernière se copie dans le chemin « C:\Users\2dW1h.exe » et s’auto exécute en arrière-plan via WMIC.

Copie dans C:\Users et lancement du processus en arrière-plan.
Source : OWN-CERT

Les différents volumes du système sont énumérés à l’aide de la fonction « WNetOpenEnum ».

Lancement de WNetEnum afin de récupérer les volumes disponibles.
Source : OWN-CERT

Cette commande permet au rançongiciel de savoir quels sont les différents volumes disponibles afin d’être chiffrés.

La liste des processus sur le système est récupérée avec la fonction GetCurrentProcess. Des processus présents dans une liste définie dans les chaînes de caractère du maliciel sont arrêtés :

Fonction de recherche et d’arrêt de processus.
Source : OWN-CERT
Liste des processus métier arrêtés.
Source : OWN-CERT

L’arrêt de ces processus enlève le verrou que ces applications mettent sur les fichiers ouverts afin de permettre leur chiffrement. Cela permet aussi au maliciel de gagner des ressources [5] afin de permettre un chiffrement plus rapide.

La fonction d’arrêt de processus est aussi utilisée pour arrêter des processus relatifs à la sécurité du système ou aux sauvegardes afin d’éviter la détection du rançongiciel et rendre la remédiation plus complexe. Dans l’échantillon analysé, les processus concernant la sécurité étaient tous relatifs à des services d’outils édités par Checkpoint.

Liste des processus sécurité arrêtés.
Source : OWN-CERT

Cloak embarque de plus un processus de « liste blanche » pour éviter de chiffrer certains dossiers ou certains fichiers critiques du système. Cette liste est décrite dans le tableau ci-dessous :

Liste blanche des fichiers et dossiers à ne pas chiffrer.
Source : OWN-CERT

Afin de rendre compliquée la remédiation dans le cas où la victime n’a pas fait de sauvegardes, Cloak supprime les points de restauration du système via « vssadmin ».

Suppression des points de restauration du système.
Source : OWN-CERT

Afin de parcourir les fichiers à chiffrer, Cloak utilise « FindFirstFile » et « FindNextFile ».

Itération sur les fichiers du système.
Source : OWN-CERT

D’autres clés de registre sont ajoutées sur le système afin de rendre plus complexe la remédiation :

Clés de registre ajoutées.
Source : OWN-CERT

Ces clés de registre permettent d’enlever l’option « Déconnexion » du menu de démarrage du serveur, d’empêcher l’utilisation du gestionnaire de tâches afin d’arrêter le rançongiciel, de se déconnecter ou de changer d’utilisateur.

Enfin, les fichiers sont probablement chiffrés à l’aide de l’algorithme Rijnadel (AES). Cette hypothèse est appuyée par l’identification, lors de l’investigation d’une s-box Rijnadel présente dans le code décompilé du rançongiciel.

S-box Rijnadel trouvée dans le sample.
Source : OWN-CERT

Le logiciel possède aussi la capacité de vider la corbeille Windows afin d’effacer les traces de son passage et ainsi de rendre complexe la récupération d’artefacts.

Fonction de vidage de la corbeille.
Source : OWN-CERT

SIMILARITES AVEC ARCRYPTER

Lors de l’analyse de cet échantillon, nous avons pu identifier des similarités avec ARCrypter.

La première est la présence de chaînes de caractères également présentes dans des échantillons de ARCrypter.

Chaînes de caractères similaires à ARCrypter.
Source : OWN-CERT

Ces chaînes de caractères sont utilisées lors du chiffrement des fichiers afin d’importer des bibliothèques de cryptographie en C++.

Une deuxième similarité est l’extension avec laquelle les fichiers sont chiffrés. Dans les maliciels ARCrypter et Cloak les fichiers sont chiffrés avec l’extension « crYptA », puis « crYptB », … Jusqu’à « crYptF ».

Une troisième similarité est que les deux maliciels utilisent la même commande pour s’assurer que les volumes distants restent connectés en cas d’extinction du serveur.

Commande exécutée pour empêcher la déconnexion des volumes réseau.
Source : OWN-CERT

Comme ARCrypter, Cloak ajoute des clés de registre “legalnoticecaption” ainsi que “legalnoticetext” afin que les messages « ALL YOUR FILES HAS BEEN ENCRYPTED » et « For unlock your files follow the instructions from the readme_for_unlock.txt » soient affichés lors de la visualisation de fichiers dans l’explorateur Windows. Cette technique est aussi utilisée par des groupes tels que LokiLocker ou Pysa.

Ajout des clés de registre.
Source : OWN-CERT

Enfin, les notes de ARCrypter et de Cloak contiennent les mêmes avertissements[6] et orientent l’utilisateur vers un panneau de chat unique avec l’acteur.

EXFILTRATION DE DONNEES

Une fois les opérations de chiffrement terminées, Cloak utilise le logiciel WinRAR afin de créer une archive .rar contenant les données à exfiltrer.

COMMENTAIRE

Il est à noter que Cloak exfiltre les données déjà chiffrées ce qui est assez rare dans l’écosystème des rançongiciels. En règle générale l’exfiltration de données s’effectue avant le chiffrement de données par le rançongiciel.


ATTRIBUTION DE CLOAK

Il est compliqué d’estimer la provenance géographique du groupe avec certitude étant donné que le langage de compilation de l’échantillon est l’anglais et que la valeur des locales comparées dans le binaire n’ont pas pu être récupérées.

Nous pouvons cependant nous intéresser à la présence d’informations dans le maliciel Neshta. Cet injecteur de code possède deux variants “NeshtaA” et “NeshtaC” selon la page Wikipédia sur Neshta (disponible en Ukrainien, Biélorusse, Russe et Roumain) et datant de 2013. Le variant A contient une chaîne de caractères qui semble être un message de l’auteur.

CHAINE DE CARACTERES DU VARIANT A (BIELORUSSE)

Delphi-the best. F**k off all the rest. Neshta 1.0 Made in Belarus. Прывiтанне усiм ~цiкавым~ беларус_кiм дзяучатам. Аляксандр Рыгоравiч, вам таксама :) Восень- кепская пара... Алiварыя - лепшае пiва! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]

CHAINE DE CARACTERES DU VARIANT A (TRADUCTION)

Delphi est le meilleur langage, au diable le reste. Neshta 1.0 produit en Biélorussie. Salutations à toutes les filles intéressantes biélorusses ainsi qu’à Alexandre Grigorievitch. L’automne est une mauvaise saison. L’Alivaria est la meilleure bière. Toutes mes félicitations à Tommy Salo. [Nov-2005] bien à vous [Dziadulja Apanas].

Plusieurs points sont à souligner dans ce message :

- L’allusion à l’Alivaria, une bière Biélorusse.

- Les salutations à Alexandre Grigorievitch, qui désigne très probablement Alexandre Lukashenko

Dans l’échantillon analysé par le CERT-OWN, le message est drastiquement réduit :

CHAINE DE CARACTERES TROUVEE DANS L’ECHANTILLON (2023)

Delphi-the best. Fuck off all the rest. Neshta 1.0 Made in Belarus.

:)

! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]

Nous remarquons que la chaîne de caractères originaux mêle anglais et biélorusse et censure le « Fuck off ». La seconde version a remplacé le paragraphe écrit en biélorusse par un smiley sourire.

Deux hypothèses peuvent être émises :

• Le groupe Cloak a enlevé les chaînes biélorusses pour éviter une attribution géographique.

• Le logiciel Neshta continue à être mis à jour et est potentiellement vendu sur des marchés cybercriminels.

Cette seconde hypothèse semble plus probable car Neshta est aussi utilisé par d’autres groupes de rançongiciels tels que Zeppelin [7].

L’utilisation par le rançongiciel Cloak d’un injecteur biélorusse, l’arrêt de services de sécurité à la fois occidentaux (Veam, Checkpoint, ...) et même chinois (zhudongfangyu) ainsi que l’anglais approximatif utilisé lors de la modification des clés de registre “legalnoticecaption” et “legalnoticetext” plaident avec un niveau de confiance moyen pour une attribution à un pays russophone ou à des membres russophones.

VICTIMOLOGIE

Les données des différents graphiques de la partie victimologie concernent les publications des noms des victimes sur le blog de Cloak.

Les organisations qui ont été victimes de Cloak récemment et dont les données et le nom n’ont pas été publiées ont été prises en compte dans les statistiques.

Répartition sectorielle des victimes de Cloak.
Source : OWN-CERT

Comme indiqué par le graphique ci-dessus, même si les secteurs sont divers, on remarque que les sociétés produisant des services [8] sont les plus touchées devant les secteurs de l’industrie ou de l’énergie. Il est à noter que le groupe cible aussi le secteur public (attaque de la douane d’un pays des Caraïbes) ou des organisations à but non lucratif.

Répartition géographique des victimes de Cloak. Source : OWN-CERT

La répartition géographique est relativement variée, même si plus de la moitié des victimes du groupe sont localisées dans des pays occidentaux et développés (70%). Le reste des pays est lui plus hétérogène, avec des pays touchés sur le continent africain, asiatique ou encore dans les Caraïbes.

Carte de la répartition géographique des victimes de Cloak.
Source : OWN-CERT

Le groupe a revendiqué au total 37 victimes entre fin août et début février ce qui donne une moyenne d’environs 7 victimes par mois.

CONCLUSION

Le groupe Cloak est un groupe actif depuis août 2023. Suite aux investigations menées sur des incidents impliquant ce groupe et développées dans le présent article il est probable que le groupe soit une nouvelle marque du variant ARCrypter comme mentionné dans l’article de SentinelOne “Good Day’s Victim Portals and Their Ties to Cloak“.

Sa nouvelle campagne datant d’aout 2023 ayant touché plus d’une trentaine de victimes indique une professionnalisation du groupe. La chaîne d’infection a été revue pour inclure un infecteur de fichiers, les TTPs du groupe continuent à évoluer et le groupe semble vouloir mettre en place une sécurité opérationnelle plus importante (mise à jour du binaire, mise en place d’un captcha sur leur blog et création d’un canal d’échange dédié pour chaque victime).

Après la campagne massive d’aout le groupe a publié sur son blog d’autres victimes tout au long du mois de décembre, puis deux victimes en janvier et enfin une victime en février.

Les similitudes de Cloak avec ARCrypter sont très importantes, que ce soit au niveau technique ou sur la reprise de la même adresse courriel de contact, la même note de rançon, ou la séparation du canal d’échange pour les victimes.

De plus, le groupe Cloak semble surgir au moment où ARCrypter cesse ses activités.

COMMENTAIRE SUR L’EVOLUTION DU GROUPE

Le groupe Cloak semble donc être un des acteurs à suivre à court terme. La professionnalisation de ses TTPs et le nombre de victimes peut laisser penser que le groupe souhaite augmenter son volume d’attaques.

De plus, les post du groupe sur leur blog sont assez inconsistants il est compliqué de savoir si les revendications sont postées en une fois ou si le groupe possède certaines périodes à forte activité.

SOURCES

• blogs.blackberry.com, “Threat Spotlight: Neshta File Infector Endures.” https://blogs.blackberry.com/en/2019/10/threat-spotlight-neshta-file-infector-endures (accessed Oct. 11, 2023).

• “Neshta,” Wikipedia. Apr. 21, 2020. Accessed: Oct. 11, 2023. [Online]. Available: https://ro.wikipedia.org/w/index.php?title=Neshta&oldid=13379892

• A. Bleih, “Cloak Ransomware: Who’s Behind the Cloak?,” Cyberint, Aug. 29, 2023. https://cyberint.com/blog/other/cloak-ransomware-whos-behind-the-cloak/ (accessed Oct. 11, 2023).

• “ARCrypt Ransomware Leverages New Tactics To Target Victims,” Jul. 07, 2023. https://thecyberexpress.com/arcrypt-ransomware-new-tactics-target-victims/ (accessed Oct. 11, 2023).

• “Previously unidentified ARCrypter ransomware expands worldwide,” BleepingComputer. https://www.bleepingcomputer.com/news/security/previously-unidentified-arcrypter-ransomware-expands-worldwide/ (accessed Oct. 11, 2023).

• cybleinc, “ARCrypt Ransomware Evolves with Multiple TOR Communication Channels,” Cyble, Jul. 06, 2023. https://cyble.com/blog/arcrypt-ransomware-evolves-with-multiple-tor-communication-channels/ (accessed Oct. 11, 2023).

• By, “Novel ARCrypter Ransomware Expanding Operations Worlwide,” Binary Defense. https://www.binarydefense.com/resources/threat-watch/novel-arcrypter-ransomware-expanding-operations-worlwide/ (accessed Oct. 11, 2023).

• blogs.blackberry.com, “ARCrypter Ransomware Expands Its Operations From Latin America to the World.” https://blogs.blackberry.com/en/2022/11/arcrypter-ransomware-expands-its-operations-from-latin-america-to-the-world (accessed Oct. 11, 2023).

• J. Walter, “Threat Actor Interplay | Good Day’s Victim Portals and Their Ties to Cloak,” SentinelOne, Aug. 30, 2023. https://www.sentinelone.com/blog/threat-actor-interplay-good-days-victim-portals-and-their-ties-to-cloak/ (accessed Oct. 11, 2023).

INDICATEURS DE COMPROMISSION

BLOG ONION

cloak7jpvcb73rtx2ff7kaw2kholu7bdiivxpzbhlny4ybz75dpxckqd[.]onion

CONDENSATS

DOMAINES 

MATRICE ATT&CK

Note de bas de page

[1] Usurpation d’identité, risque de procès…

[2] Afin sans doute de négocier la rançon et de donner le moyen de paiement.

[3] Les données sont : nom d’utilisateur, mot de passe et application concernée

[4] Soit pour injecter une charge utile dans ces exécutables, soit pour les corrompre.

[5] Puissance de calcul, mémoire vive…

[6] Actions en justice, amendes liées au RGPD, …

[7] Selon les règles Yara du CISA concernant la détéction de Zeppelin

[8] Cabinets d’avocats, de notaires, services informatiques, …

Partager l'article :

Your OWN cyber expert.