Ransomware : qu’on l’appelle BabLock ou Rorschach, il est rapide
Check Point, Group-IB et Palo Alto Networks documentent un rançongiciel découvert en janvier 2023. Pouvant être utilisé contre les systèmes Windows et Linux/ESXi, il s’avère particulièrement rapide.
C’est en janvier 2023 que les chercheurs de Group-IB ont observé pour la première fois ce nouveau ransomware qu’ils ont baptisé BabLock. Ce nom a été choisi en raison des similarités que le variant de ce rançongiciel pour Linux/ESXi présente avec Babuk. Mais son variant Windows apparaît totalement spécifique et particulièrement sophistiqué.
Du côté de Check Point, ce ransomware est appelé Rorschach et présenté comme « le plus rapide observé » pour le chiffrement. En outre, « une analyse comportementale du nouveau ransomware suggère qu’il est en partie autonome, se propageant automatiquement lorsqu’il est exécuté sur un contrôleur de domaine, tout en effaçant les journaux d’événements des machines affectées ».
La note de rançon déposée rappelle celles de Yanluowang ou de DarkSide. Mais « chaque personne qui a examiné le ransomware a vu quelque chose de légèrement différent, ce qui nous a incités à lui donner le nom du célèbre test psychologique : Rorschach Ransomware », expliquent les équipes de Check Point.
Durant leurs cyberattaques, les opérateurs de Rorschach détournent un logiciel légitime signé Palo Alto Networks : le Cortex XDR Dump Service Tool (cydump.exe). L’équipementier explique qu’il peut être utilisé pour charger des DLLs non signées – du DLL side-loading. Mais cela ne vaut que lorsque l’outil est sorti de son dossier d’installation : « lorsque l’agent Cortex XDR est installé sous Windows et que le processus Cortex XDR Dump Service Tool est exécuté à partir du chemin d’installation, il n’est pas possible de charger latéralement des DLL à l’aide de cette technique ».
BabLock/Rorschach est bien détecté et bloqué par l’agent Cortex XDR à partir de sa version 7.7 avec la mise à jour CU-240, distribuée depuis novembre 2021.
À ce stade, les opérateurs de ce nouveau ransomware n’ont pas de vitrine où épingler leurs victimes récalcitrantes. Des demandes de rançon variées de 50 000 $ à 1 000 000 $ ont été observées.
Selon Group-IB, ce rançongiciel est utilisé depuis juin 2022. On compterait des victimes en France. Les attaquants ont été observés exploitant la vulnérabilité CVE-2022-41352 de la suite collaborative de Zimbra pour établir leur accès initial. Un correctif pour cette vulnérabilité est disponible.