Le système de chiffrement complexe et multicouche augmente les défis de récupération pour les entreprises ciblées par ses attaques à double extorsion.
Une récente mise à niveau de l’opération ransomware RansomHouse a ajouté de nouvelles préoccupations aux défenseurs des entreprises, en introduisant une mise à jour de cryptage multicouche au modèle RaaS à double extorsion du groupe.
Également suivi sous le cluster Jolly Scorpius, le groupe de ransomwares est passé d’une simple routine de chiffrement en une seule phase à une architecture de chiffrement multicouche à double clé qui augmente la complexité de ses opérations d’extorsion.
Détaillée par l’équipe de renseignement sur les menaces de Palo Alto Networks, la mise à jour place la barre plus haut en matière de récupération une fois les systèmes compromis. Le changement affecte la façon dont les fichiers sont traités et chiffrés lors d’une attaque, compliquant l’analyse et limitant la capacité des défenseurs à récupérer les données sans payer de rançon.
« La mise à niveau du chiffrement utilisé par RansomHouse RaaS, passant d’un simple modèle linéaire à une approche multicouche plus complexe, signale une trajectoire inquiétante dans le développement des ransomwares », ont déclaré les chercheurs d’Unit42 dans un article de blog. « Cela démontre comment les acteurs de la menace mettent à jour leurs techniques pour améliorer leur efficacité. »
Les chercheurs ont qualifié l’ampleur des opérations de RansomHouse d’« importante », avec au moins 123 victimes répertoriées sur son site de fuite de données couvrant les soins de santé, les finances, les transports et le gouvernement.
Mise à niveau du chiffrement optimisé par VMware ESXi
Les chercheurs ont confirmé que RansomHouse s’éloigne d’un modèle de chiffrement linéaire pour se tourner vers un processus à plusieurs étapes à double clé, ce qui complique considérablement le décryptage ou la récupération de clé. Ils ont suivi le chiffreur mis à jour sous le nom de « Mario », le décrivant comme le composant ransomware du processus multicouche nouvellement introduit.
Lors de l’ingénierie inverse de Mario par Unit42, les analystes ont observé que le binaire mis à niveau génère à la fois une clé de chiffrement primaire de 32 octets et une clé de chiffrement secondaire de 8 octets, exécutant des passes de chiffrement distinctes qui s’enclenchent.
Pour les entreprises exécutant une infrastructure virtuelle, en particulier des hôtes VMware ESXi, cette évolution représente un tournant vers un compromis à plus fort impact. Les outils de RansomHouse ciblent spécifiquement les fichiers et les sauvegardes ESXi, en les chiffrant avec l’extension « e.mario » tout en abandonnant les instructions de rançon pour le paiement.
Combiné avec MrAgent, l’utilitaire de déploiement et de persistance de RansomHouse, le cadre RaaS nuit à la fois à la continuité opérationnelle et aux efforts de récupération, ont noté les chercheurs.
RansomHouse tente une double extorsion
Au-delà de la mise à jour cryptographique, RansomHouse exploite un modèle de double extorsion, qui consiste à exfiltrer des données et à menacer de les divulguer au public en plus de les chiffrer, pour accroître la pression sur les victimes afin qu’elles paient.
Cette tactique de pression à plusieurs niveaux, déjà courante dans les attaques de ransomwares modernes, complique les délais de réponse aux incidents et les stratégies de négociation pour les équipes de sécurité des entreprises.
La divulgation de l’Unité 42 a également révélé que RansomHouse fonctionne avec une chaîne d’attaque modulaire séparant les opérateurs (développeurs d’outils et gestionnaires de fuites) des attaquants/affiliés (ceux qui accèdent et déploient le ransomware). Ce modèle permet au RaaS d’évoluer et de s’adapter, même lorsque les affiliés individuels changent de nom ou changent de nom.
La divulgation indique que les stratégies de détection qui reposent uniquement sur des signatures statiques sont de plus en plus insuffisantes contre les ransomwares comme RansmHouse qui utilisent un cryptage dynamique et fragmenté avec une exécution en plusieurs phases. Investir dans l’analyse comportementale, la surveillance en temps réel, la segmentation renforcée et la validation régulière des sauvegardes reste essentiel. Unit 42 a publié des indicateurs de compromission (hachages de fichiers, extensions de fichiers et artefacts de demande de rançon) liés aux outils RansomHouse mis à jour, exhortant les entreprises à rechercher de manière proactive les activités associées sur les points finaux concernés et les environnements virtualisés.
