Selon Huntress (blog), des chercheurs ont identifié un nouveau variant de ransomware, nommé ‘Obscura’, qui exploite les partages NETLOGON des contrôleurs de domaine pour une distribution automatique à l’échelle des réseaux d’entreprise. Ce variant s’inscrit dans une tendance d’émergence de nouvelles souches après les perturbations récentes des opérations de ransomware établies.

Points techniques clés 🔍

  • Langage/plateforme : binaire compilé en Go ; vérifie la présence de privilèges administrateur avant exécution ; comportement modulé via la variable d’environnement DAEMON.
  • Chiffrement : échange de clés Curve25519 avec XChaCha20 ; ajoute un pied de page de 64 octets contenant la signature ‘OBSCURA!’, la clé publique et le nonce ; conserve la fonctionnalité système en excluant 15 extensions de fichiers.
  • Évasion/désactivation : termine 120 processus prédéfinis visant notamment des outils de sécurité et des bases de données ; supprime les copies d’ombre (VSS).
  • Propagation : mise en place de tâches planifiées exécutées depuis les partages NETLOGON des contrôleurs de domaine 🖥️.

Impact et portée 🔐

  • Type d’attaque : ransomware ciblant des réseaux d’entreprise.
  • Effet : chiffrement des fichiers tout en laissant intacts les fichiers système.
  • Conditions : privilèges administrateur requis.

IOCs (indicateurs) potentiels 🧪

  • Chaîne de signature dans les fichiers chiffrés : ‘OBSCURA!’ présente dans un footer de 64 octets.
  • Utilisation de la variable d’environnement ‘DAEMON’ pour contrôler le comportement.

TTPs (tactiques, techniques et procédures) 🛠️

  • Propagation via partages NETLOGON et tâches planifiées (Windows).
  • Évasion par terminaison de processus liés à la sécurité et aux bases de données.
  • Impact/Évasion par suppression des clichés VSS.
  • Chiffrement avec XChaCha20 et échange de clés Curve25519.
  • Développement en Go.

Conclusion

  • Type d’article : analyse de menace détaillant les capacités, mécanismes de propagation et artefacts de ‘Obscura’ afin d’éclairer la communauté sur ce nouveau variant.

🧠 TTPs et IOCs détectés

TTPs

[‘Propagation via partages NETLOGON et tâches planifiées (Windows)’, ‘Évasion par terminaison de processus liés à la sécurité et aux bases de données’, ‘Impact/Évasion par suppression des clichés VSS’, ‘Chiffrement avec XChaCha20 et échange de clés Curve25519’, ‘Développement en Go’]

IOCs

[“Chaîne de signature dans les fichiers chiffrés : ‘OBSCURA!’ présente dans un footer de 64 octets”, “Utilisation de la variable d’environnement ‘DAEMON’ pour contrôler le comportement”]

🔗 Source originale : https://www.huntress.com/blog/obscura-ransomware-variant

🖴 Archive : https://web.archive.org/web/20250903194108/https://www.huntress.com/blog/obscura-ransomware-variant