Derni-né de la famille des ransomware as a service, Nevada suit une courbe active de progression en reposant sur un réseau d’affiliation au ticket d’entrée très faible. Les environnements Windows mais aussi Linux/ESXi sont touchés.
En juin dernier, Trend Micro avait découvert que le ransomware basé sur Linux Cheerscrypt s’attaquait aux environnements ESXi de VMware. L’histoire semble malheureusement se répéter, avec une autre équipe de chercheurs de Resecurity qui a identifié une nouvelle race de rançongiciel baptisée Nevada. A la manoeuvre, on trouve des acteurs malveillants se servant d’une plateforme d’affiliation introduite pour la première fois sur une communauté darknet RAMP, connue notamment pour ses courtiers en accès initiaux (IAB). Ces derniers offrent des capacités d’intrusion dans les réseaux.
« Le 1er février 2023, les opérateurs à l’origine du projet ont mis à jour et considérablement amélioré les fonctionnalités crypto pour Windows et Linux/ESXi, et ont distribué de nouvelles versions pour leurs affiliés qui ont été analysées par notre équipe de veille sur les malwares », explique Resecurity dans un billet de blog. L’enquête qui a été menée montre qu’un acteur de la menace, Nebel, a proposé en décembre dernier à des cybercriminels russes et chinois de s’affilier pour distribuer le ransomware Nevada à des conditions très attractives et compétitives avec un partage de revenus pouvant grimper pour eux à 90 %. Comme on aurait pu s’y attendre, le succès a malheureusement été au rendez-vous.
Une cybermenace à prendre au sérieux
La variante du rançongiciel Nevada qui se concentre sur les machines Windows prend en charge un ensemble d’indicateurs qui donnent à ses opérateurs un certain contrôle sur le chiffrement basé sur l’algorithme Salsa20 : -file > chiffrer le fichier sélectionné ; -dir > chiffrer le répertoire sélectionné ; -sd > auto-suppression après tout ce qui a été fait ; -sc > supprimer les clichés instantanés ; -lhd > charger les lecteurs cachés ; -nd > rechercher et chiffrer les partages réseau ; -sm > chiffrement en mode sans échec. « Le chiffreur peut être installé en tant que service lorsqu’il est exécuté avec l’argument -sm. Après cela, l’ordinateur sera redémarré, puis Windows démarrera en mode sans échec avec une connexion réseau », précise Resecurity. Concernant la variante Linux de Nevada, écrite en Rust, elle s’avère similaire à celle pour Windows avec une variable constante expand 32-byte k que l’on retrouve dans le célèbre rançongiciel Petya. Le chiffreur Linux ne crypte entièrement que les fichiers inférieurs à 512 Ko. Probablement en raison d’un bogue dans la version Linux, le rançongiciel Nevada ignorera tous les fichiers dont la taille est comprise entre 512 Ko et 1,25 Mo explique Resecurity.
La menace Nevada est à prendre très au sérieux. Le cybergang qui en est à l’origine dispose par exemple d’une équipe dédiée à la post-exploitation ainsi qu’à la conduite d’intrusions réseau dans les cibles stratégiques. Resecurity s’attend à un pic de croissance active lié au ransomware Nevada en 2023, tant en termes de nombre de victimes que d’affiliés collaborant avec le groupe. Le projet est bien présenté sur le forum underground RAMP et a déjà suscité l’intérêt de cybercriminels crédibles qui pourraient les rejoindre après la fermeture d’autres grands réseaux de rançongiciels.