11 Décembre 2024

Fiche d’identité Industrial Spy

Documentations

Introduction

Industrial Spy est le prédécesseur de The Underground Team. Apparu pour la première fois en avril 2022, le groupe est soupçonné d’avoir également participé au déploiement du ransomware Cuba.

Au début, le groupe se contente de lancer des menaces et de procéder à des exfiltrations de données avec demande de rançon, puis il utilise un ransomware avec un double système d’extorsion (une demande de rançon pour le décryptage des données et une demande de rançon pour la non-divulgation des données volées).

La première victime du ransomware est enregistrée le 15/03/2022

Les éléments techniques

  • Changement du papier peint de la victime

Papier peint de la victime

  • Suppression des vss (Volume Snapshop Service, utilitaire Windows pour la sauvegarde de l’ordinateur)
  • Changement des clés de registres pour déposer la note de rançon dans tous les répertoires de manière récursive.
  • Auto-suppression du rançongiciel pour effacer ses traces
  • Note de rançon avec un lien .onion (extension des url du darkweb) qui permet de contacter les opérateurs
  • Utilisation de l’algorithme 3DES + RSA pour le chiffrement
  • Une exception de chiffrement est faite sur les répertoires contenant la chaîne de caractères :
    • Windows
    • Microsoft
    • google\chrome
    • mozilla\firefox
    • \opera
  • Blacklist de certaines extensions (afin de ne pas compromettre le système et ne cibler que les fichiers importants type doc, pdf).
  • Utilisation d’un script « temp.cmd » après le chiffrement pour supprimer toutes les traces (log via wevtutil et autodestruction)

Détection par GLIMPS Malware

Le module d’extraction des chaînes de caractères (strings) de GLIMPS Malware Expert permet de récupérer la note de rançon

Note de rançon Industrial Spy

On y constate aussi la présence d’un Tox ID (Tox est une messagerie chiffrée utilisée par les acteurs malveillants) afin de contacter les opérateurs

Conclusion

Industrial Spy innove dans le système de vente de données de ses victimes. Sur leur vitrine, 3 sections sont présentes :

  • Section premium : l’archive de données est mise à prix fort et ne peux être téléchargée qu’une fois. Elle est ensuite supprimée de leur serveur.
  • Section générale : si l’archive ne trouve pas preneur en premium elle est mise à prix plus faible et pour plusieurs acheteurs. Elle est cependant conservée par le groupe.
  • Section Free : l’archive est publiée gratuitement et complètement.

IoCs

urls :
Spyare23ttlty6qav3embclpqym3p32lksanoypvrqm6j5onstsjad[.]onion

Note de rançon :
readme.txt

Emails :
Inbox@support24.net
Inbox@supticket.com

 

N’hésitez pas à nous contacter pour en savoir plus : contact@glimps.re