Analyse du Ransomware Benzona : IOCs, Possibilités de Décryptage et Stratégies de Défense

Équipe de Sécurité Cyberlord

Analyse du Ransomware Benzona : IOCs, Possibilités de Décryptage et Stratégies de Défense

En novembre 2025, une nouvelle souche de ransomware sophistiquée connue sous le nom de Benzona a émergé, se faisant rapidement un nom en ciblant des organisations à travers l'Europe, l'Asie et l'Afrique de l'Ouest. Opérant sur un modèle de Ransomware-as-a-Service (RaaS), Benzona emploie des tactiques agressives de double extorsion, menaçant de divulguer des données sensibles si ses exigences ne sont pas satisfaites.

Cette analyse technique décompose la chaîne d'attaque Benzona, les Indicateurs de Compromission (IOCs) et les stratégies de défense actionnables pour les professionnels de la sécurité.

Analyse du Ransomware Benzona

La Chaîne d'Attaque Benzona

Benzona suit un cycle de vie d'attaque structuré conçu pour maximiser l'impact et entraver la récupération.

1. Accès Initial & Exécution

Les attaquants obtiennent généralement l'accès via des campagnes de phishing, des identifiants compromis ou en exploitant des vulnérabilités non corrigées dans des applications publiques. Une fois à l'intérieur, le ransomware utilise :

  • Injection de Processus (T1055) : Injection de code malveillant dans des processus légitimes pour échapper à la détection.
  • Interpréteurs de Script (T1059) : Utilisation de PowerShell pour exécuter des commandes et désactiver les contrôles de sécurité.

2. Évasion & Persistance

Pour maintenir l'accès et éviter la détection antivirus, Benzona :

  • Désactive la Récupération : Il exécute des commandes pour supprimer les Copies d'Ombre de Volume (vssadmin.exe Delete Shadows /All /Quiet) et supprimer les points de restauration Windows.
  • Termine les Processus : Il tue les logiciels de sécurité et les processus de virtualisation pour empêcher l'analyse et s'assurer que les fichiers ne sont pas verrouillés pendant le cryptage.
  • Modifie le Registre : Il altère les clés de registre pour assurer la persistance après les redémarrages.

3. Cryptage & Exfiltration (Double Extorsion)

Benzona utilise des algorithmes cryptographiques forts pour verrouiller les fichiers des victimes.

  • Extension de Fichier : Les fichiers cryptés sont ajoutés avec l'extension .benzona (par exemple, rapport_financier.pdf.benzona).
  • Vol de Données : Avant le cryptage, le malware exfiltre des données sensibles vers un serveur de commande et contrôle (C2). Ces données volées sont le levier pour la deuxième étape de l'extorsion.

4. La Note de Rançon

Une fois le cryptage terminé, une note de rançon intitulée RECOVERY_INFO.txt est déposée dans les répertoires affectés. La note contient généralement :

  • Un avertissement que les fichiers sont cryptés et que les données ont été volées.
  • Une menace de publier les données si la rançon n'est pas payée dans les 72 heures.
  • Des instructions pour télécharger le navigateur Tor et visiter un portail de chat .onion spécifique pour la négociation.

Indicateurs de Compromission (IOCs)

Les équipes de sécurité doivent scanner les indicateurs suivants pour détecter l'activité Benzona.

Indicateurs de Fichiers

  • Extension : .benzona
  • Note de Rançon : RECOVERY_INFO.txt

Indicateurs Réseau

  • Portail de Chat Tor : http://rwsu75mtgj5oiz3alkfpnxnopcbiqed6wllyoffpuruuu6my6imjzuqd.onion/
  • Site de Fuite : http://benzona6x5ggng3hx52h4mak5sgx5vukrdlrrd3of54g2uppqog2joyd.onion

Hashes de Fichiers (SHA-256)

  • 09f7432834ce15e701aa7fcc84a9c2441c1c7e0a9cb66a6211845be73d2597cc
  • 1c895eeb1d6ab9e5268759558c765b93f4c183557cb2c457857b91532ac61982

Stratégies de Défense & Atténuation

Il n'y a actuellement aucun décrypteur gratuit disponible pour le ransomware Benzona. La prévention et la réponse rapide sont vos seules défenses.

  1. Sauvegardes Immuables : Assurez-vous d'avoir des sauvegardes hors ligne et immuables. Benzona cible et supprime les sauvegardes en ligne et les copies d'ombre.
  2. Gestion des correctifs : Priorisez la correction des systèmes exposés à Internet pour empêcher l'accès initial.
  3. Segmentation du Réseau : Limitez le mouvement latéral en segmentant les réseaux critiques.
  4. Détection et Réponse aux Endpoints (EDR) : Déployez des solutions EDR configurées pour bloquer l'injection de processus et les modifications de fichiers en masse.
  5. Formation des Utilisateurs : Menez des simulations de phishing pour éduquer les employés sur la reconnaissance des e-mails malveillants.

Conclusion

Benzona représente l'évolution continue des menaces RaaS fin 2025. Son utilisation de la double extorsion et des techniques anti-récupération en fait un adversaire redoutable. Les organisations doivent passer d'une posture réactive à une mentalité proactive "supposez la brèche", en se concentrant sur la résilience et la récupération rapide.

Si vous avez été touché par Benzona, ne payez pas la rançon immédiatement. Contactez une équipe professionnelle de réponse aux incidents pour évaluer vos options.

Aperçu

Décisions clés, risques et actions de mise en oeuvre pour ce sujet.

Ressources connexes