Source: Huntress — Contexte: billet de blog décrivant un incident récent où le ransomware KawaLocker (KAWA4096) a été déployé dans un environnement client, avec chronologie, outils utilisés et «breadcrumbs» de détection.

Huntress a observé début août un accès initial via RDP à l’aide d’un compte compromis (08/08). Le threat actor a déployé kill.exe et l’outil HRSword (Huorong) pour surveiller le système et identifier/neutraliser des outils de sécurité (usage de tasklist.exe | find). Des services Windows associés à ces solutions ont ensuite crashé. Deux drivers noyau signés Huorong — sysdiag.sys et hrwfpdr.sys — ont été installés puis supprimés via sc.exe (sc start/stop/delete), confirmant l’usage d’outils liés à Beijing Huorong Network Technology.

Pour l’énumération, l’acteur a lancé advanced_port_scanner.exe et enregistré une liste d’hôtes dans 1.txt. Il a ensuite étendu sa portée avec PsExec: PsExec.exe -h @1.txt -d -c "\\[REDACTED]\1.bat". Le batch exécuté contenait: REG ADD ... fDenyTSConnections /d 0 ... && netsh firewall set opmode disable, soit activation de RDP à distance et désactivation du pare-feu sur d’autres machines.

Le déploiement de KawaLocker a ciblé le volume E:\ via e.exe -d="E:\\". Les canaris sur C:\ n’ont pas été affectés, mais la journalisation d’audit a généré des événements Security 4663 permettant à Huntress d’identifier des fichiers chiffrés et d’extraire la note de rançon. L’adresse de contact figurant dans la note est kawa4096@onionmail[.]org. Après l’exécution, l’acteur a supprimé les Volume Shadow Copies, vidé les journaux Windows (Security/System/Application) et forcé la self-delete du binaire, via: vssadmin.exe delete shadows /all /quiet, wevtutil cl ..., et del /F ... e.exe (ces commandes étant intégrées au binaire selon Trustwave). Huntress a empêché l’accès aux autres hôtes visés par l’activation RDP, limitant l’impact.

IOCs observés:

  • Email de rançon: kawa4096@onionmail[.]org
  • Binaires/outils: e.exe, kill.exe, HRSword, advanced_port_scanner.exe, PsExec.exe, tasklist.exe
  • Drivers: sysdiag.sys, hrwfpdr.sys (signés Beijing Huorong Network Technology Co., Ltd.)
  • Fichiers: 1.txt, 1.bat
  • Événements: Microsoft-Windows-Security-Auditing/4663

TTPs observés:

  • Accès initial: Compromission de compte et RDP
  • Désactivation/évasion des défenses: HRSword, kill.exe, crash de services de sécurité, drivers noyau, vssadmin (suppression VSS), wevtutil (purge des logs), self-delete du binaire
  • Découverte/énumération: advanced_port_scanner, tasklist/find
  • Mouvement latéral: PsExec avec liste d’hôtes (1.txt), activation RDP à distance, désactivation du pare-feu
  • Impact: Chiffrement ciblé du volume *E:* par KawaLocker; note de rançon avec contact onionmail

Contexte additionnel: KawaLocker est apparu en juin 2025 (analyse Trustwave SpiderLabs en juillet). Certains éléments (design du site de fuite, note de rançon) ressemblent à Akira et Qilin, perçus comme des choix de visibilité plutôt qu’une collaboration. Huntress publie ces éléments comme breadcrumbs de détection (ex: usage de HRSword, suppression de VSS via WMI) pour faciliter l’identification d’attaques similaires. Type: rapport d’incident documentant l’attaque et ses artefacts techniques.

🔗 Source originale : https://www.huntress.com/blog/kawalocker-ransomware-deployed