Découverte d’un nouveau ransomware : Underground

Cette semaine, l’équipe CTI de GLIMPS a eu l’occasion d’analyser un nouveau rançongiciel ce qui a amené à la découverte du nouveau ransomware Underground, aperçu lors de leur veille quotidienne.

Analyse statique de la souche

0a08d9b027457da99725968eb4566eb836a7d503219ad5690f851caecabce93d

Ce fichier est identifié par GLIMPS Malware comme malveillant. Grâce à cette plateforme nous pouvons très rapidement en effectuer l’analyse.

La famille de ce rançongiciel n’est pas encore référencée dans nos bases ce qui laisse supposer qu’il s’agit d’une nouvelle famille ; d’autant plus que les moteurs antiviraux ne le connaissent pas à l’heure actuelle.

L’étude des chaînes de caractères nous indique qu’une note de rançon est bien présente et se nomme “%s!!readme!!!.txt”. “%s” étant potentiellement une variable de personnalisation qui sera remplacée par un identifiant de victime (nom de la victime, ID aléatoire,…) lors de l’exécution du rançongiciel.

Un lien TOR apparaît afin de pouvoir contacter le groupe grâce à un identifiant/mot de passe fourni dans cette même note.

Conclusion

Nous savons grâce à l’analyse de GLIMPS Malware, que nous sommes bien face à un ransomware. Les fonctions ainsi que la note de rançon ne laissent aucun doute concernant la catégorisation de ce fichier. Les indicateurs contenus dans cette note nous informent que le groupe se nomme Underground. Nous sommes donc bien face à la découverte découverte du nouveau ransomware Underground.

Annexes