Selon BleepingComputer, le service de ransomware RansomHouse a récemment amélioré son chiffreur, délaissant une approche linéaire en une seule phase au profit d’une méthode multi‑couches plus complexe.
1) Contexte
- RansomHouse est une opération de cybercriminalité active depuis décembre 2021, initialement centrée sur l’extorsion par vol de données, avant d’intégrer progressivement le chiffrement.
- Le groupe opère selon un modèle RaaS et dispose d’outils dédiés, dont MrAgent, capable de chiffrer plusieurs hyperviseurs VMware ESXi simultanément.
- Récemment, RansomHouse a été observé utilisant plusieurs familles de ransomwares lors d’attaques, notamment contre Askul Corporation, un géant japonais du e-commerce.
2) Évolution majeure : le nouvel encryptor « Mario »
- Les chercheurs de Palo Alto Networks – Unit 42 ont analysé une nouvelle variante d’encryptor, baptisée Mario.
- Cette version marque un changement architectural important :
- passage d’un chiffrement linéaire en une seule phase
- à un processus multi-couches plus complexe
👉 Objectif : améliorer la robustesse du chiffrement, la vitesse d’exécution et la fiabilité sur des environnements modernes.
3) Nouveau schéma de chiffrement
- Chiffrement en deux étapes, reposant sur :
- une clé primaire de 32 octets
- une clé secondaire de 8 octets
- Cette approche :
- augmente fortement l’entropie
- rend la récupération partielle des données beaucoup plus difficile
- complique les tentatives de rétro-ingénierie
4) Nouvelle stratégie de traitement des fichiers
- Introduction d’un chiffrement par segments dynamiques :
- seuil fixé à 8 Go
- utilisation d’un chiffrement intermittent
- Le comportement varie selon :
- la taille du fichier
- des calculs mathématiques complexes déterminant l’ordre et la méthode de traitement
Impacts techniques
- Analyse statique plus difficile
- Non-linéarité du flux de chiffrement
- Moins de patterns reproductibles pour les outils de détection
5) Améliorations internes de l’outil
- Meilleure organisation mémoire
- buffers dédiés pour chaque étape du chiffrement
- Complexité accrue du code
- séparation claire des rôles internes
- Journalisation enrichie
- la nouvelle version fournit des informations détaillées sur le traitement des fichiers
- contrairement aux anciennes versions, limitées à un message de fin de tâche
6) Ciblage et artefacts
- Cibles privilégiées :
- fichiers de machines virtuelles
- Comportements observés :
- renommage des fichiers chiffrés avec l’extension .emario
- dépôt d’une note de rançon : How To Restore Your Files.txt
- note déposée dans tous les répertoires affectés
7) Évaluation de la menace
Selon Unit 42 :
- cette évolution représente « une trajectoire préoccupante du développement des ransomwares »
- elle augmente :
- la difficulté de déchiffrement
- la résistance à l’analyse
- le levier de pression lors des négociations post-attaque
8) Positionnement stratégique de RansomHouse
- RansomHouse reste une opération mid-tier en volume d’attaques
- Mais :
- l’investissement continu dans des outils avancés
- suggère une stratégie axée sur :
- l’efficacité
- la fiabilité
- l’évasion
- plutôt que sur une croissance massive ou opportuniste
🧠 À retenir
- Le nouvel encryptor Mario marque une montée en sophistication claire.
- Le chiffrement devient :
- plus robuste
- plus rapide
- plus difficile à analyser ou à contourner.
- Même des groupes non dominants en volume peuvent représenter un risque élevé s’ils misent sur la qualité des outils.
- Les environnements VMware ESXi restent des cibles stratégiques de premier plan.
👉 Cette évolution confirme une tendance de fond : le ransomware continue de se professionnaliser, même chez des acteurs considérés comme « secondaires ».
Type d’article et objectif: analyse de menace décrivant l’évolution technique de l’outil de chiffrement de RansomHouse.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/ransomhouse-upgrades-encryption-with-multi-layered-data-processing/