L'année dernière, le groupe BlackLock, anciennement connu sous le nom d'El Dorado, a mis au point l'un des malwares les plus redoutables. Et ce dernier est toujours en circulation.
Les chercheurs du cabinet ASEC ont observé une montée en puissance de ce ransomware depuis mars 2024. BlackLock est devenu l'un des acteurs les plus actifs et le malware éponyme aurait enregistré une croissance de 1425% au quatrième trimestre 2024.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
BlackLock : un mécanisme de double chiffrement
Le logiciel malveillant BlackLock a été développé en langage Go. D'emblée, il est nativement compatible avec les systèmes Windows, Linux ainsi que sur l'hyperviseur VMware ESXi. Pour les cyberhackers, il suffit donc d'une seule campagne pour compromettre simultanément des infrastructures informatiques hétérogènes.
Le ransomware chiffre chaque fichier via l'algorithme ChaCha20 en utilisant une combinaison secrète unique. Chacun des éléments est donc verrouillé avec son propre cadenas nécessitant une clé spécifique. Chacune reçoit aussi un nombre aléatoire, un « nonce », pour rendre chaque opération impossible à reproduire ou à deviner. De fait, seuls les outils des attaquants permettent de déchiffrer le contenu pris en otage.
Les informations de récupération (les métadonnées contenant la clé de chiffrement et les données permettant le déchiffrement) sont chiffrées via l'algorithme Elliptic Curve Diffie-Hellman (ECDH) et sont ajoutées à la fin de chaque fichier.
Comment BackLock échappe aux antivirus
Les analystes expliquent qu'une fois la machine infectée, le ransomware active plusieurs options d'exécution via des arguments en ligne de commande, notamment -path pour spécifier les répertoires cibles, -delay pour programmer un délai de démarrage, ou -perc pour chiffrer seulement un pourcentage défini des blocs de données. Les hackers peuvent ainsi mieux cibler leurs attaques en fonction du système infecté.
Plutôt que de lancer des commandes classiques pour interroger Windows (WMI), BlackLock utilise une méthode plus discrète. Il crée une sorte de module logiciel dans la mémoire de l’ordinateur, appelé "instance d’objet COM". Ce module sert d’intermédiaire pour effectuer ces requêtes. Il peut alors explorer ou supprimer les sauvegardes systèmes en toute discrétion. Puisque les antivirus passent au crible les disque locaux, ils ne sont pas en mesure de repérer le module dans la mémoire.
Ajoutons que sur Windows, le malware s'enrichit d'extensions en exploitant des projets open-source comme go-smb2 pour scanner et accéder aux dossiers partagés via le protocole SMB. D'emblée, une infection locale peut donc se propager aux disques et ordinateurs connectés.
