Obscura : un nouveau ransomware en Go se propage via les partages NETLOGON des contrôleurs de domaine
Selon Huntress (blog), des chercheurs ont identifié un nouveau variant de ransomware, nommé ‘Obscura’, qui exploite les partages NETLOGON des contrôleurs de domaine pour une distribution automatique à l’échelle des réseaux d’entreprise. Ce variant s’inscrit dans une tendance d’émergence de nouvelles souches après les perturbations récentes des opérations de ransomware établies. Points techniques clés 🔍 Langage/plateforme : binaire compilé en Go ; vérifie la présence de privilèges administrateur avant exécution ; comportement modulé via la variable d’environnement DAEMON. Chiffrement : échange de clés Curve25519 avec XChaCha20 ; ajoute un pied de page de 64 octets contenant la signature ‘OBSCURA!’, la clé publique et le nonce ; conserve la fonctionnalité système en excluant 15 extensions de fichiers. Évasion/désactivation : termine 120 processus prédéfinis visant notamment des outils de sécurité et des bases de données ; supprime les copies d’ombre (VSS). Propagation : mise en place de tâches planifiées exécutées depuis les partages NETLOGON des contrôleurs de domaine 🖥️. Impact et portée 🔐 ...