Huntress — Le fournisseur a publié un rapport décrivant un incident impliquant le ransomware KawaLocker (KAWA4096), une variante apparue en juin 2025, dont l’attaque a été détectée et contenue avant un impact organisationnel étendu.

Le scénario débute par une compromission RDP via un compte compromis. Les attaquants déploient des utilitaires pour désactiver les outils de sécurité (notamment kill.exe et HRSword) et chargent des drivers noyau (sysdiag.sys et hrwfpdr.sys de Beijing Huorong Network Technology). Une énumération réseau est menée avec advancedportscanner.exe, suivie de tentatives de mouvement latéral via PsExec.

Le ransomware KawaLocker est exécuté avec la commande “e.exe -d="E:\\”", chiffrant des fichiers avec l’extension .AAE564FDD et déposant une note de rançon “!!Restore-My-file-K1Vva.txt”. L’outil procède à la suppression des clichés VSS, au nettoyage des journaux d’événements, puis se supprime lui-même via des commandes embarquées. L’analyse souligne des similarités avec les variantes Qilin et Akira, tout en mettant en avant une détection et réponse efficaces ayant limité l’impact.

Indicateurs de compromission (IOCs) 🚩

  • Fichiers/outils observés: kill.exe, HRSword, advancedportscanner.exe
  • Drivers noyau: sysdiag.sys, hrwfpdr.sys (Beijing Huorong Network Technology)
  • Binaire/commande: “e.exe -d="E:\\”"
  • Extension de chiffrement: .AAE564FDD
  • Note de rançon: !!Restore-My-file-K1Vva.txt

Tactiques, Techniques et Procédures (TTPs) 🛠️

  • Accès initial: compromission de compte RDP
  • Évasion/défense: désactivation des outils de sécurité (HRSword, kill.exe), drivers noyau
  • Découverte: énumération réseau (advancedportscanner.exe)
  • Mouvement latéral: PsExec
  • Impact: chiffrement ciblé, suppression des Volume Shadow Copies, purge des journaux, auto-suppression

Type d’article: rapport d’incident — objectif principal: documenter la chaîne d’attaque KawaLocker, ses similitudes avec d’autres variantes et les IOCs/TTPs observés, ainsi que la détection/réponse qui ont limité l’impact.

🔗 Source originale : https://www.huntress.com/blog/kawalocker-ransomware-deployed

🖴 Archive : https://web.archive.org/web/20250817165218/https://www.huntress.com/blog/kawalocker-ransomware-deployed