Maze prend sa retraite, Egregor prend la suite

Alors que les développeurs du ransomware Maze ont annoncé leur retraite, leurs clients semblent maintenant se tourner vers Egregor en guise de substitut.

Le palmarès de Maze

Le groupe Maze a été une force dévastatrice pour les entreprises qui ont été victimes de ces cybercriminels au cours de l’année dernière.

Ce qui différencie Maze de nombreux autres groupes de menace, ce sont les pratiques qui suivaient l’infection. Maze attaquait les ressources d’une entreprise, chiffrait des fichiers ou se concentrait simplement sur le vol de données propriétaires, puis exigeait le paiement – souvent une rançon à six chiffres – en cryptomonnaie.

Si la tentative d’extorsion échouait, le groupe créait alors une entrée sur un portail dédié sur le dark web afin de publier les données volées. Canon, LG et Xerox ont fait partie des organisations précédemment frappées par Maze.

Un départ prévisible

Cependant, le 1er novembre, le groupe Maze a annoncé son « départ à la retraite », en précisant qu’il n’y avait pas de « successeur officiel » et que le support du malware prendrait fin au bout d’un mois.

Malwarebytes a noté une baisse des infections depuis le mois d’août et affirme donc que ce retrait de la scène n’était « pas vraiment » inattendu.

Toutefois, cela ne signifie pas que les anciens clients de Maze vont aussi quitter le marché, et les chercheurs en sécurité soupçonnent que « beaucoup de leurs affiliés déménagent dans une nouvelle famille » connue sous le nom d’Egregor, spin-off de Ransom.Sekhmet.

Le successeur de Maze

Selon une analyse menée par Appgate, Egregor est actif depuis la mi-septembre de cette année et, à cette époque, a été lié à des attaques présumées contre des organisations comme GEFCO et Barnes & Noble.

Egregor est également associé à un modèle de Ransomware as a Service (RaaS), dans lequel des clients peuvent s’abonner pour avoir accès au malware. D’après les exemples de notes de rançon, une fois qu’une victime a été infectée et que ses fichiers ont été chiffrés, les opérateurs exigent qu’elle établisse un contact via Tor ou un site web dédié pour organiser le paiement. En outre, la note menace que si une rançon n’est pas payée dans les trois jours, les données volées seront rendues publiques.

Egregor utilise une série de techniques d’anti-obfuscation et de conditionnement de la charge utile pour éviter qu’elle soit analysée. La fonctionnalité du ransomware est considérée comme similaire à celle de Sekhmet. « Dans l’une des étapes d’exécution, la charge utile d’Egregor ne peut être décryptée que si la bonne clé est fournie dans la ligne de commande du processus, ce qui signifie que le fichier ne peut pas être analysé, que ce soit manuellement ou à l’aide d’une sandbox, si la même ligne de commande que celle utilisée par les attaquants pour exécuter le logiciel rançon n’est pas fournie », notent les chercheurs.

Attention à la prochaine menace

Si les habitués de Maze passent à Egregor, Malwarebytes prévient que ce n’est peut-être pas la dernière fois qu’on entend parler de Maze comme menace active.

« L’histoire nous a montré que lorsqu’un groupe criminel décide de fermer ses portes, c’est rarement parce qu’il reconnaît les problèmes de ses méthodes, mais plutôt parce qu’une nouvelle menace plus puissante que les acteurs préfèrent utiliser est disponible », soulignent les chercheurs.

« C’est pourquoi, avec des organisations qui seront maintenant visées par le prochain ransomware et aucun signe d’espoir pour les victimes du passé, nous ne voyons aucune raison d’être particulièrement heureux à ce sujet. »

Source : ZDNet.com