Selon ASEC (AhnLab), le groupe « Underground » conduit des attaques ransomware continues à l’échelle mondiale, avec une reprise d’activité confirmée par l’ouverture d’un Dedicated Leak Site (DLS) en mai 2024.

• Contexte et cibles. Identifié initialement en juillet 2023, Underground pratique la double extorsion (chiffrement + vol de données avec divulgation publique en cas de non‑paiement). Des victimes sont listées aux EAU, États‑Unis, France, Espagne, Australie, Allemagne, Slovaquie, Taïwan, Singapour, Canada et Corée du Sud, couvrant des secteurs variés (construction, design intérieur, manufacturing, IT), avec des revenus de 20 M$ à 650 M$. Le groupe ne discrimine pas par pays, secteur ou taille, et ses attaques augmentent globalement.

• Caractéristiques du malware. Le chiffrement repose sur un RNG + AES (clé par fichier) + RSA avec clé publique RSA embarquée, et aucune communication réseau après chiffrement. Les fichiers sont classés par taille (petits, normaux, grands) et chiffrés en mode “striping” pour les plus volumineux. La note de rançon inclut un lien Tor et des identifiants pour négocier, vante des « services » (diagnostic de vulnérabilités, conseils de sécurité, récupération), et contient des données spécifiques à la cible (IP et informations volées), signe d’un préalable d’intrusion et de reconnaissance. La distribution est ciblée et personnalisée, non massive.

• Chaîne d’exécution et techniques. Le binaire vérifie le nombre d’arguments, crée un Mutex (“8DC1F7B9D2F4EA58”), puis supprime les Shadow Copies (vssadmin), modifie la base de registre (restriction RDP via MaxDisconnectionTime) et arrête des services SQL pour éviter les interférences. Des dossiers (%SystemRoot%, %ProgramFiles%, %ProgramFiles(x86)%) et extensions critiques (exe, dll, sys, etc.) sont exclus. Les fichiers accédés/modifiés/créés dans les 6 derniers mois sont priorisés. Le chiffrement utilise bcrypt.dll avec génération d’un secret de 0x30 octets (0x20 pour la clé AES, 0x10 pour l’IV), puis chiffrement RSA (CBC) du secret+IV ajouté en fin de fichier (0x200 octets), accompagné d’une métadonnée (0x18 octets) comprenant la taille d’origine et des flags Stripe/Head/Tail/Gap. En fin d’opération, création et exécution de _eraser.bat pour purger les journaux via wevtutil.

• Détections et indicateurs. AhnLab fournit des détections V3/EDR et hash MD5 d’échantillons, avec des IOCs supplémentaires sur AhnLab TIP.

• Finalité. Il s’agit d’une analyse de menace détaillant l’outillage, le mode opératoire et les détections associées au ransomware Underground.

🧠 TTPs et IOCs détectés

TTP

T1486: Data Encrypted for Impact, T1489: Service Stop, T1490: Inhibit System Recovery, T1562.001: Impair Defenses: Disable or Modify Tools, T1070.001: Indicator Removal on Host: Clear Windows Event Logs, T1083: File and Directory Discovery, T1560.002: Archive Collected Data: Archive via Library, T1027: Obfuscated Files or Information, T1047: Windows Management Instrumentation, T1059.003: Command and Scripting Interpreter: Windows Command Shell, T1218.011: Signed Binary Proxy Execution: Rundll32, T1485: Data Destruction, T1562.009: Impair Defenses: Safe Mode Boot, T1071.001: Application Layer Protocol: Web Protocols, T1203: Exploitation for Client Execution, T1055: Process Injection

IOC

Mutex: 8DC1F7B9D2F4EA58, Hash: [MD5 hash from AhnLab TIP], Domain: [Tor link from ransom note], IP: [IP from ransom note]

🔗 Source originale : https://asec.ahnlab.com/en/89835/