web-dev-qa-db-fra.com

Pourquoi Sage Ransomeware met-il sur liste noire League of Legends, steamapps, etc.?

Je lisais récemment l'analyse des menaces de Malwarebytes Labs pour Sage Ransomware . J'ai trouvé intéressant d'apprendre que, apparemment, en plus des répertoires système, ce qui est logique, les chemins vers des jeux comme League of Legends ainsi que le chemin vers les steamapps sont exclus de l'attaque. L'article ne spécule pas sur la raison pour laquelle c'est le cas, ce qui me laisse curieux et spéculant pour moi. Y a-t-il une raison évidente pour laquelle les créateurs du malware ont fait cela? Ou suis-je simplement en train d'y penser? Est-ce indicatif d'une démographie cible, d'un vecteur d'attaque et/ou d'une méthode de livraison? La seule raison potentiellement évidente à laquelle je peux penser pour laquelle cela a pu être fait est de ne pas interrompre un joueur distrait, et donc de permettre le processus pour continuer à s'exécuter en arrière-plan moins susceptible d'être remarqué par l'utilisateur. Cependant, je pense que c'est une explication trop simple. Je me risquerais à dire que l'utilisateur moyen d'un ordinateur ne reconnaîtrait pas les signes d'infection même s'il n'était pas absorbé par un jeu ou une tâche du système. Comme c'est intrinsèquement le cas avec la grande majorité des ransomwares, le groupe démographique cible est généralement l'utilisateur occasionnel qui est moins susceptible de sauvegarder ses données qu'un utilisateur expérimenté qui serait plus susceptible de remarquer les signes d'infection, ce qui fait que cette explication semble encore moins probable. Étant donné que la plupart des données de nombreux jeux ne sont pas stockées localement (la majorité des données stockées localement étant également sauvegardées dans le cloud, comme c'est le cas avec Steam) et les clés de licence sont désormais souvent gérées par une plate-forme de distribution numérique, je peux voir pourquoi il serait presque inutile de crypter ces fichiers. * Même quand même, je me risquerais à chiffrer ces fichiers contribuerait davantage au sentiment d'invasion/vulnérabilité/perte ressenti par la victime. Du point de vue de l'ingénierie sociale/psychologique, cela augmenterait probablement les chances de la victime de payer la rançon. Suis-je en train de donner trop de crédit au (x) créateur (s)? Un mouvement comme celui-ci semble être une chose très délibérée à faire, ce qui me rend très curieux comme motivation.

Reconnaissant qu'essayer de déterminer ou de vérifier la motivation réelle des codeurs Sage pour leurs décisions de programmation sera plus une question d'opinion et de spéculation que de fait, ma question se résume à deux questions que j'ai rencontrées en spéculant:

  1. Quelles versions de Windows sont généralement ciblées? Est-ce similaire à comment WannaCry s'est propagé , ciblant une grande variété de systèmes d'exploitation Windows? Ou était-il davantage axé sur les systèmes d'exploitation des utilisateurs privés (par exemple XP, Vista, 7) par rapport aux systèmes d'exploitation commerciaux (par exemple Windows Server 2000, 2008)?
  2. Dans quoi Sage s'est-il propagé/abandonné? Comme l'indique l'article, "Le plus souvent, Sage est abandonné par des scripts de téléchargement distribués via des e-mails de phishing." Cependant, puisque l'article indique que l'un des formulaires dans lesquels il a été déposé était un fichier JavaScript autonome, cela ouvre de nombreux vecteurs d'attaque potentiels. Je suis curieux de savoir si quelqu'un est au courant d'autres vecteurs d'attaque que Sage a utilisés, le cas échéant.

* En parlant principalement de jeux en ligne uniquement comme League of Legends où les informations de profil de l'utilisateur sont stockées en ligne. Cependant, Sage exclut l'intégralité des chemins steamapps, qui est également où les informations de sauvegarde pour les jeux locaux uniquement/solo sont stockées.

MISE À JOUR: Juste pour clarifier, je comprends pourquoi il est logique d'essayer d'empêcher le cryptage de fichiers de faible valeur et facilement remplaçables. Cependant, ce que je trouve intéressant, c'est la méthodologie utilisée par les codeurs pour accomplir cela. On pourrait peut-être générer une liste noire spécifiant au moins une centaine de répertoires dans lesquels des données et des fichiers de faible valeur sont généralement stockés pour divers cas d'utilisation. Cependant, les codeurs n'ont exclu que les chemins de fichiers très spécifiques du cryptage. Ne serait-il pas plus logique, si votre objectif est de crypter le plus rapidement possible des données de la valeur la plus élevée, d'essayer de cibler le cryptage sur des chemins de fichiers où les données les plus précieuses sont le plus généralement stockées? Cela réduirait la portée des fichiers cryptés et augmenterait les chances d'attraper quelque chose d'assez précieux pour motiver un utilisateur à payer la rançon.

14
wjjd225

Je suppose que ces jeux sont assez volumineux (GTA V représente 10 s de gigaoctets). Pour cela, il faudrait un temps considérable pour les crypter, ce qui augmente les chances d'être détecté. Souvent, ces jeux stockent les profils dans un autre répertoire qui pourrait être inclus dans le processus de cryptage. Le jeu peut être réinstallé mais le profil peut ne pas être récupérable.

22
Silver

Parce qu'il est inutile de crypter un fichier qui peut être récupéré simplement en cliquant dessus dans Steam; en particulier un qui allait surcharger leur processus de cryptage.

Commencez avec la prémisse qu'une attaque détectée sera interrompue, auquel cas plus aucun fichier ne sera crypté. Une autre façon de penser à cela est qu'en moyenne, les ransomwares fonctionneront pendant une durée limitée; disons quinze minutes. (Certaines personnes le détecteront et le fermeront après moins d'une minute, d'autres le laisseront fonctionner pendant des heures.) En outre, supposons qu'une attaque prenne du temps pour crypter un fichier; peut-être une seconde par fichier image en moyenne.

Les agresseurs ne gagnent leur argent que si la douleur qu'ils infligent est si grande que la victime est prête à négocier avec eux. Comment mesure-t-on cette douleur? Si ce qu'ils ont chiffré était de la plus grande valeur pour la victime. Disons que quelqu'un a 1000 fichiers d'images sur son disque, dont 10 sont des photos irremplaçables d'un être cher décédé qui ont une grande valeur sentimentale. Si le crypteur atteint les 10, la victime paiera certainement pour les récupérer. Si le crypteur ne touche qu'un seul d'entre eux, la victime sera contrariée, mais ne paiera probablement pas. Si le crypteur atteint 5 des 10, la victime pourrait payer ou non. Nous pourrions exprimer cela en pourcentage: 1 fichier représente une chance de 10% de payer, 10 fichiers représentent une chance de 100%. *

Le chiffreur passe par le système de fichiers et énumère les différents fichiers d'images et de documents, mais il ne sait pas quels sont les 10 importants dont la victime se soucie. Aux fins de l'attaque, tous les fichiers image sont égaux, donc tout ce qui améliore les chances de chiffrer les 10 fichiers sentimentaux améliore les chances qu'il soit payé la rançon. Avec une fenêtre de quinze minutes, environ 900 fichiers seront cryptés.

Les jeux peuvent avoir des fichiers d'images et de films contenant des illustrations, des scènes coupées et d'autres éléments. Disons que la victime a un jeu avec 1000 fichiers image. Mais les fichiers de jeu sont facilement remplaçables - cliquez sur "installer" dans Steam, et ils sont de retour. Personne ne paiera la rançon pour ces fichiers.

Ainsi, en excluant les fichiers du jeu, l'attaquant a 90% de chances d'être payé. S'il n'exclut pas les fichiers du jeu, l'attaquant a 45% de chances d'être payé.

C'est juste des maths.

* Je sais que tout le monde n'est pas un absolu de 10% ou 100% ou autre; l'idée est qu'il y a un certain pourcentage de victimes qui seront plus susceptibles de payer, et cela se reflète dans l'analyse finale. Ce n'est certainement pas exactement 90% ou 45%, juste que certaines personnes seront beaucoup plus incitées à payer que d'autres.

14
John Deters

Ces deux systèmes effectuent tous deux une validation de fichier. Si votre programme cesse de fonctionner, en tant qu'utilisateur, vous essaierez de le réparer en exécutant la réparation de fichiers.

Plus tard, vous constaterez que votre système est crypté avec un ransomware. Vous payez l'amende, ils vous donnent la clé de déchiffrement, vous exécutez le logiciel de déchiffrement ...

Dix minutes plus tard, vous êtes sur leur canal d'assistance dans IRC. "Il échoue avec le message d'erreur" Erreur de somme de contrôle avec le fichier C:\Steam\User\DewiMorgan\PlantsVsZombies\data.dat, le décryptage a échoué. Comment le résoudre? "

En tant que fournisseur de services, vous souhaitez minimiser les erreurs de déchiffrement et minimiser les problèmes de support. Vous évitez donc de chiffrer les dossiers qui causent le plus de problèmes de support.

En général, le chiffrement est peu coûteux. Un attaquant devrait crypter par défaut: une liste blanche n'attrapera pas toujours les dossiers dans lesquels les données les plus précieuses sont stockées. Vous ne savez même pas ce qu'un utilisateur individuel considère comme précieux.

Mais il y a certains dossiers qui sont définitivement:

  • Risque élevé d'être écrasé après le cryptage, entraînant des erreurs de décryptage.
  • Temps de chiffrement élevé, risquant d'être pris avant que vous n'ayez atteint les bonnes choses.
  • Aucun effort à remplacer en cas de perte, donc sans valeur: le chiffrement est un gaspillage.

Ainsi, alors qu'une liste blanche endommagerait le générique de votre attaque, une liste noire a de la valeur car elle se défend contre des problèmes spécifiques.

4
Dewi Morgan