Un nouveau ransomware Nevada cible les systèmes Windows et VMware ESXi
Les experts en sécurité ont observé une amélioration des capacités du localisateur qui cible les systèmes Windows et VMware ESXi, ce qui laisse penser que le ransomware relativement nouveau connu sous le nom de Nevada étend rapidement ses capacités.
Le 10 décembre 2022, le ransomware Nevada a commencé à faire l’objet d’une publicité sur les forums du darknet RAMP, invitant les voleurs parlant chinois et russe à le rejoindre en échange d’un partage de 85 % des rançons payées.
Nevada a annoncé qu’il augmenterait sa part de revenu à 90 % pour les affiliés qui envoient beaucoup de clients.
RAMP a été mentionné dans des rapports précédents comme un lieu où les pirates chinois et russes font de la publicité pour leurs opérations criminelles ou interagissent entre eux.
Le ransomware Nevada comprend différents domaines du réseau Tor pour les affiliés et les victimes, un casier basé sur Rust et une page de chat de négociation en temps réel.
.png)
Les chercheurs de Resecurity ont examiné le nouveau virus et ont présenté leurs conclusions dans un rapport. Ils affirment que malgré l’exclusion claire des affiliés anglophones par Nevada ransomware, les opérateurs sont ouverts à la collaboration avec des courtiers d’accès vérifiés de partout.
Cibler les hôtes Windows
La console est utilisée pour exécuter la variante de Nevada ransomware spécifique à Windows, qui prend en charge un certain nombre de drapeaux offrant à ses contrôleurs un certain contrôle sur le cryptage :
- -file > crypter le fichier sélectionné
- -dir > chiffrer le répertoire sélectionné
- -sd > auto-suppression une fois tout terminé
- -sc > supprimer les copies d’ombre
- -lhd > charger les lecteurs cachés
- -nd > trouver et crypter les partages réseau
- -sm > cryptage en mode sans échec
L’ensemble des emplacements du système que le ransomware Nevada épargne au chiffrement est une caractéristique intrigante. En général, les victimes de la CEI (Communauté des États indépendants) et de la Russie ne sont pas ciblées par les criminels du ransomware. La liste comprend maintenant l’Iran, le Vietnam, la Malaisie, la Hongrie, la Turquie et l’Iran avec ce malware.
La charge utile ajoute les dossiers partagés à la file d’attente du chiffrement en utilisant MPR.dll pour recueillir des données sur les ressources du réseau. Chaque lecteur, même ceux qui sont cachés, reçoit une lettre, et tous les fichiers qu’il contient sont également placés dans la file d’attente.
Le système piraté redémarre ensuite en mode sans échec de Windows avec une connexion réseau active une fois que le crypteur a été installé en tant que service.
Pour un chiffrement plus rapide, le casier effectue un chiffrement intermittent sur les fichiers de plus de 512 Ko en utilisant la méthode Salsa20.
Pour éviter de rendre l’hôte victime non amorçable, les exécutables, les DLL, les LNK, les SCR, les URL et les fichiers INI situés dans les répertoires système de Windows et les fichiers de programme de l’utilisateur ne sont pas chiffrés.
L’extension de fichier “.NEVADA” est ajoutée aux fichiers cryptés, et chaque dossier contient une note de rançon donnant aux victimes cinq jours pour se conformer aux exigences de l’acteur menaçant avant que leurs données volées ne soient rendues publiques sur le site Web du Nevada consacré aux violations de données.
.png)
Ciblage des systèmes VMware ESXi
Le ransomware Nevada utilise la même méthode de chiffrement (Salsa20) sur Linux et VMware ESXi que sur Windows. Il utilise une variable constante, une technique utilisée pour la première fois par le ransomware Petya.
Le même schéma de cryptage sporadique est utilisé par le crypteur Linux. Seuls les fichiers de 512 Ko et moins sont entièrement cryptés.
Le chercheur a constaté que le ransomware Nevada contournait tous les fichiers d’une taille comprise entre 512 Ko et 1,25 Mo, très probablement en raison d’une faille dans la version Linux.
Les affirmations suivantes sont soutenues par le casier Linux :
- -aide > aide
- -daemon > création et lancement d’un service ‘nevada’
- -file > chiffrer un fichier particulier
- -dir > chiffrer un dossier particulier
- -esxi > désactiver toutes les machines virtuelles
Sur les ordinateurs Linux, 38 octets supplémentaires sont ajoutés à la fin du fichier crypté pour stocker la clé publique.
Selon Resecurity, le ransomware Petya a des points communs avec d’autres ransomwares dans la mesure où il peut être possible de récupérer également la clé privée, ce qui permettrait de récupérer les données sans payer la rançon.
À la recherche de hackers avertis, le ransomware Nevada continue d’étendre son réseau d’affiliés et de courtiers de premier accès.
Resecurity a constaté que les opérateurs de Nevada ransomware achetaient l’accès à des points d’extrémité compromis et engageaient une équipe spécialisée dans la post-exploitation pour mener à bien l’intrusion.
Les chercheurs soulignent que ce risque semble s’accroître et qu’il convient de le surveiller de près.
French 
Italian 