SpaceColon : Analyse d'un rançongiciel Delphi aux cinq modes de chiffrement

SpaceColon est un rançongiciel apparu en mars 2023 qui se distingue par des choix techniques surprenants. Son architecture révèle une approche inhabituelle du chiffrement de fichiers.

Une construction atypique

Contrairement aux tendances actuelles, ce logiciel malveillant a été développé avec Delphi. Cette particularité permet d'inspecter son interface graphique complète sans même l'exécuter. L'analyse révèle des cases à cocher, des paramètres configurables et une flexibilité inattendue qui soulève des questions sur son mode de déploiement.

Cinq modes, cinq stratégies

Le rançongiciel propose cinq modes de chiffrement distincts. Du mode "Complet" qui traite l'intégralité des fichiers au mode "Le plus rapide" qui ne touche qu'un pourcent de chaque fichier, en passant par des approches intermittentes et même un mode "Effacement" potentiellement destructeur, SpaceColon offre une palette d'options rarement vue.

Sophistication cryptographique

L'analyse dévoile un schéma de chiffrement complexe utilisant la bibliothèque IPWorks Encrypt et une clé RSA intégrée. Les fichiers chiffrés portent des marqueurs distinctifs et subissent un encodage Base64 de leurs noms, avec une double extension temporaire qui évite la réinfection.

Mystères et vestigès

Le code contient des éléments intrigants, notamment une référence à un utilisateur "DesertSun" dont l'identité reste inconnue, et une préparation méticuleuse qui neutralise processus et services avant d'effacer toutes les corbeilles du système.

Notre solution EDR détecte et bloque efficacement cette menace. Pour une analyse technique complète incluant les schémas de chiffrement, les indicateurs de compromission et les TTPs détaillés, téléchargez le rapport complet.