Selon Palo Alto Networks (Unit 42), un nouveau ransomware nommé 01flip a été observé dès juin 2025, utilisé par le cluster financier CL-CRI-1036 contre un nombre limité de victimes en Asie-Pacifique, incluant des entités d’infrastructures critiques en Asie du Sud-Est. Les opérateurs demandent 1 BTC et communiquent via e‑mail/messagerie privée. Une publication sur forum clandestin évoque des fuites concernant des victimes aux Philippines et à Taïwan, bien que 01flip lui‑même n’intègre pas d’exfiltration. Aucune vitrine de double extorsion n’a été constatée.

🔧 Technique: 01flip est entièrement écrit en Rust, tirant parti de la compilation multiplateforme (🪟 Windows, 🐧 Linux) avec des binaires peu ou pas obfusqués. Les deux variantes partagent l’essentiel des dépendances Rust. Capacités principales: énumération des lecteurs, dépôt d’un ransom note (RECOVER-YOUR-FILE.TXT) dans tous les répertoires inscriptibles, chiffrement AES‑128‑CBC avec clé de session protégée en RSA‑2048, renommage des fichiers (.<UNIQUE_ID>.<0/1>.01flip), puis autodestruction. Évasion: usage d’APIs bas niveau/syscalls, chaînes encodées (décodage par soustraction octet à octet), et un anti‑sandbox simple si le nom du binaire contient « 01flip ».

🧩 Chaîne d’intrusion: tentative d’exploitation d’anciennes vulnérabilités, notamment CVE‑2019‑11580 (Atlassian Crowd Server), contre des applications exposées (dès avril 2025). En mai, déploiement d’un implant Sliver (Linux) puis mouvement latéral via TCP Pivot, suivi du déploiement de multiples instances 01flip sur Windows et Linux. Les actions probables observées via Sliver incluent reconnaissance, dump d’identifiants et mouvements latéraux. Un post d’« autovictime » évoque un serveur Zimbra compromis.

🔐 Chiffrement et exclusions: dépôt des notes de rançon avant chiffrement, utilisation d’un modèle de note et d’une liste d’extensions exclues (incluant l’extension « lockbit », possible clin d’œil sans autre lien confirmé). Les binaires procèdent à un effacement sécurisé post‑chiffrement (commandes différentes sous Windows/Linux).

🧪 IOCs et TTPs

  • IOCs (💾):
    • Windows 01flip (SHA‑256): 6aad1c36ab9c7c44350ebe3a17178b4fd93c2aa296e2af212ab28d711c0889a3
    • Linux 01flip (SHA‑256): e5834b7bdd70ec904470d541713e38fe933e96a4e49f80dbfb25148d9674f957
    • Sliver beacon Linux TCP Pivot (SHA‑256): ba41f0c7ea36cefe7bc9827b3cf27308362a4d07a8c97109704df5d209bce191
    • Extension ajoutée aux fichiers chiffrés: .01flip ; Patron: .<UNIQUE_ID>.<0/1>.01flip
    • Note de rançon: RECOVER-YOUR-FILE.TXT
    • Contact mentionné: 01Flip@proton[.]me
  • TTPs (🎯):
    • Initial access: exploitation ciblée d’instances exposées, dont CVE‑2019‑11580 (Atlassian Crowd Server)
    • C2/post‑exploitation: Sliver (implant Linux), TCP Pivot, déploiement manuel
    • Découverte/Crédentials/Mouvement latéral: recon, credential dumping, lateral movement
    • Evasion: APIs natives bas niveau, chaînes encodées (décodage par SUB sur paires d’octets), anti‑sandbox par nom de fichier
    • Impact: chiffrement de fichiers (AES‑128‑CBC + RSA‑2048), effacement/auto‑suppression des binaires

🧩 Produits mentionnés (défense): Advanced WildFire, Cortex XDR/XSIAM (dont Anti‑Ransomware), Cortex Xpanse (ASM, détection d’instances exposées comme Atlassian Crowd), et coordonnées de l’équipe IR Unit 42. Cet article est une publication de recherche visant à documenter cette nouvelle famille, partager IOCs/TTPs et indiquer des protections disponibles.

🧠 TTPs et IOCs détectés

TTP

[‘Exploitation ciblée d’instances exposées, dont CVE‑2019‑11580 (Atlassian Crowd Server)’, ‘Utilisation de Sliver (implant Linux) pour C2/post-exploitation’, ‘TCP Pivot pour mouvement latéral’, ‘Reconnaissance’, ‘Credential dumping’, ‘Mouvement latéral’, “Utilisation d’APIs natives bas niveau pour évasion”, ‘Chaînes encodées (décodage par SUB sur paires d’octets) pour évasion’, ‘Anti-sandbox par nom de fichier pour évasion’, ‘Chiffrement de fichiers (AES‑128‑CBC + RSA‑2048)’, ‘Effacement/auto-suppression des binaires’]

IOC

{‘hashes’: [‘6aad1c36ab9c7c44350ebe3a17178b4fd93c2aa296e2af212ab28d711c0889a3’, ’e5834b7bdd70ec904470d541713e38fe933e96a4e49f80dbfb25148d9674f957’, ‘ba41f0c7ea36cefe7bc9827b3cf27308362a4d07a8c97109704df5d209bce191’], ‘file_extension’: ‘.01flip’, ‘ransom_note’: ‘RECOVER-YOUR-FILE.TXT’, ‘contact_email’: ‘01Flip@proton[.]me’}

🔗 Source originale : https://unit42.paloaltonetworks.com/new-ransomware-01flip-written-in-rust/