Play, ce nouveau ransomware utilisé contre les Alpes-Maritimes et ITS Group
Les opérateurs de ce rançongiciel ont attendu la fin novembre pour commencer à épingler publiquement leurs victimes et à en divulguer des données. Pour autant, ils sont actifs depuis au moins fin juin.
Le site vitrine de Play (aussi appelé PlayCrypt) a été découvert fin novembre. Il est accessible depuis deux adresses Tor et affiche des revendications pour dix victimes. Parmi elles, deux Françaises : le département des Alpes-Maritimes et ITS Group. Pour le premier, la cyberattaque a été découverte le 10 novembre. Pour l’entreprise de services numériques (ESN), il faut remonter à la mi-septembre.
En fait, l’ouverture du site vitrine de Play semble avoir été préparée début novembre, avec un premier ajout de données le 3 novembre. La revendication correspondante a été publiée deux semaines plus tard. Mais il faudra attendre la fin du mois pour qu’apparaisse le premier échantillon publiquement accessible du ransomware Play, produisant une note de rançon mentionnant les adresses Tor de la vitrine. Avant cela, ladite note de rançon – un fichier ReadMe.txt déposé notamment à la racine du disque dur C:\ – se contentait de mentionner le nom du rançongiciel et une adresse e-mail.
L’adresse e-mail semble unique à chaque victime et utilisée comme moyen exclusif de discussion pour les négociations. Les acteurs déployant Play semblent avoir un faible pour le service de messagerie électronique gratuit allemand GMX. Les adresses utilisées pour négocier avec les victimes semblent relevées régulièrement par un système utilisé pour la gestion des communications.
Nous avons essayé d’entrer en contact avec les acteurs impliqués dans Play via l’une de ces adresses e-mail. Une réponse manifestement prédéfinie nous est parvenue, mais pas immédiatement, comme avec une réponse automatique tel un message d’absence, une heure et quart plus tard. Sans fioriture, le message se limite à l’évidence : « votre réseau a été chiffré ; vos données personnelles, sensibles, privées ont été volées. Vous pouvez envoyer 2-3 fichiers pour tester le déchiffrement (taille limitée à 10 Mo pour chaque fichier) ».
Vient ensuite la demande effective de rançon. Dans le cas de la victime correspondant à l’échantillon du ransomware étudié, 57 bitcoins : « en cas de non-paiement, vos données seront publiées et vendues ». Pour ITS Group, un échantillon de 2 Go de données est mis à disposition, directement à partir du service de stockage Cloud Mega.nz. Pour le département des Alpes-Maritimes, le volume est plus conséquent : 13 Go.
Le plus ancien échantillon de Play publiquement disponible a été compilé fin juin 2022, une période correspondant à l’apparition des premières demandes d’aide sur les forums de nos confrères de Bleeping Computer. La première victime connue de ce ransomware est le système judiciaire de Cordoba, en Argentine, frappé mi-août.
Les équipes de Trend Micro sont intervenues sur ce dernier cas. Elles ont observé le recours à des techniques et tactiques déjà vues dans le cadre de cyberattaques impliquant les rançongiciels Hive et Nokoyawa. Surtout, elles relèvent un possible partage d’infrastructure avec des acteurs impliqués dans des cyberattaques imputées à Quantum (issu du groupe Conti).
Chuong Dong s’est longuement penché sur le code de Play, mais il n’a pas trouvé de lien avec d’autres ransomwares existants. Au contraire, selon lui, le code de Play est « lourdement maquillé, avec de nombreuses astuces uniques qui n’ont pas été utilisées » ailleurs, jusqu’ici.