Qui n’a jamais entendu parlé du ransomware CryptoWall ou de son illustre prédécesseur, CryptoLocker ? Ces malwares cryptographiques sont utilisé par les cybercriminels pour chiffrer les fichiers des ordinateurs infectés dans le but de demander des rançons aux propriétaires en échange de la clef de déchiffrement. CryptoWall tiendrait en otage la quantité astronomique de 5,25 milliards de fichiers, selon Dell SecureWorks.
Malgré ce chiffre hallucinant, il semblerait pourtant que le business du ransomware soit en train de décliner. C’est en tout cas ce que laissent penser les derniers chiffres du rapport de Dell SecureWorks qui suggèrent que CryptoWall, le malware leader du genre sur le marché en ce moment, n’aurait pas été aussi rentable que son prédécesseur de triste mémoire, le fameux CryptoLocker, même s’il a réussi à infecter un nombre important d’ordinateurs et s’il a pu prendre en otage la quantité stupéfiante de 5,25 milliards de fichiers. A noter la très grande similitude avec CryptoDefense.
Rappel du fonctionnement du ransomware
Lorsque que Cryptowall est présent sur votre système, il va scanner votre machine afin de trouver des fichiers à crypter notamment ceux avec les extensions suivantes : .ddrw, .pptm, .dotm, .xltx, .text, .docm, .djvu, .potx, .jpeg, .pptx, .sldm, .xlsm, .sldx, .xlsb, .ppam, .xlsx, .ppsm, .ppsx, .docx, .odp, .eml, .ods, .dot, .php, .xla, .pas, .gif, .mpg, .ppt, .bkf, .sda, .mdf, .ico, .dwg, .mbx, .sfx, .mdb, .zip, .xlt. Quand il crypte un fichier, il créé également les fichiers DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html dans chaque dossier où un fichier a été chiffré. Ces fichiers contiennent des instructions pour accéder à un site de paiement qui est utilisé pour envoyer la rançon.
Vous pouvez la plupart du temps le supprimer d’une machine infectée avec le logiciel gratuit spécialisé Malwarebytes Anti-Malware.
Un gros succès chez les pirates informatiques
En décembre 2013, c’est Dell SecureWorks qui avait déjà fourni les chiffres, souvent repris depuis, montrant le succès du terrible CryptoLocker de CryptoWall, lequel avait semé la panique après sa première apparition en septembre dernier. En 100 jours, CryptoLocker avait réussi à infecter quelque 250 000 systèmes avant que son réseau ne soit neutralisé par l’opération Tovar lancée en mai par le FBI. Le nombre exact de victimes qui ont finalement payé pour pouvoir déchiffrer leurs données reste inconnu, mais Dell avait estimé ce nombre à environ 0,4 %. Mais, celui-ci est sans doute un peu inférieur dans la mesure où les systèmes de protection se sont adaptés à la menace.
La division sécurité de Dell SecureWorks estime aujourd’hui que CryptoLocker a probablement rapporté 3 millions de dollars environ de rançons aux pirates, soit trois fois plus que le 1,1 million de dollars qu’aurait réussi à soutirer CryptoWall. Pourtant, entre le début du mois de mars 2014, date de son apparition, et le 24 août dernier, CryptoWall a tout de même réussi à infecter au moins 625 000 systèmes.
« L’impact de cette famille de logiciels malveillants est moins important, même si CryptoWall a réussi à infecter une quantité impressionnante de fichiers. Les obstacles techniques rencontrés par les utilisateurs pour acheter des bitcoins ont probablement aussi contribué à cette baisse », a déclaré Keith Jarvis, un chercheur de Dell SecureWorks, qui a essayé d’expliquer le phénomène. « Par ailleurs, il est probable que les opérateurs de CryptoWall ne disposent pas de système de “cash out” et de blanchiment aussi sophistiqué que celui dont dispose l’équipe de Gameover Zeus qui a distribué CryptoLocker et qu’ils ne peuvent pas traiter les gros volumes de cartes prépayées ».
« Reste que, CryptoWall est tout de même parvenu à crypter la quantité astronomique de 5,25 milliards de fichiers », a indiqué l’entreprise. La majorité des 1683 victimes identifiées par Dell SecureWorks aurait déboursé la modique somme de 500 dollars environ pour recevoir la fameuse clef de déverrouillage. Cependant, selon Dell SecureWorks, toutes les victimes n’ont pas payé la même rançon : certaines – 399 selon l’entreprise de sécurité – auraient déboursé 1000 dollars, et l’une d’elles aurait versé une rançon de 10 000 dollars. On ne sait pas vraiment si Dell SecureWorks a pu identifier les serveurs de paiement : il y a quelques semaines, l’entreprise de sécurité PhishMe avait réussi à tracer des portefeuilles Bitcoins dont le solde atteignait plus de 700 000 dollars en valeur. Enfin, s’il a eu moins de succès que CryptLocker, CryptoWall (également connu sous le nom CryptoDefense) a toutefois réussi à infecter des ordinateurs partout dans le monde, avec un impact très variable selon le pays. D’après la liste établie par Dell SecureWorks, 253 521 ordinateurs ont été infectés aux États-Unis (40,6 % du total), 66 590 au Vietnam (10,7 %), 40 258 au Royaume-Uni (6,4 %), 32 579 au Canada (5,2 %), 22 582 en Inde (5,2 %), et 19 562 en Australie (3.1 %).
En conclusion de ce rapport, il semblerait bien que le business lucratif du ransomware soit en perte de vitesse. Les victimes préfèrent souvent perdre leurs données ou les restaurer simplement depuis un point de sauvegarde n’ayant pas été infecté. En effet, même en payant la rançon, qui garanti l’éradication du malware et la récupération totale des fichiers ? Voila ce qui explique cela. De plus, c’est sans compter qu’il faut passer par TOR pour accéder au site des pirates afin de payer et qu’il faut détenir des Bitcoins. Beaucoup trop complexe pour des utilisateurs lambdas !
Il n’est reste pas moins qu’il est très important aussi de se rappeler l’énergie incroyable qu’il a fallu déployer pour contrer les ravages de CryptoLocker, le prédécesseur de CryptoWall. De nombreux organismes et de nombreuses entreprises de sécurité avaient consacré des mois de travail pour trouver une solution. Entre temps, le malware avait allégé ses victimes de 3 millions de dollars…
Source : Le Monde Informatique
Les commentaires sont fermés.