Tribune Check Point – Les personnes et les entreprises comptent aujourd’hui beaucoup sur leurs ordinateurs pour effectuer des tâches. Il n’existe rien de pire que d’être pris en otage par un logiciel rançonneur, et elles s’opposent souvent au paiement de la rançon demandée. Après tout, si rien ne garantit que le criminel tiendra parole et rendra l’accès aux fichiers, à quoi bon payer ?
Logiciels malveillants : le cas du docteur qui ne prescrivait aucun remède
Pour éviter de payer, les victimes peuvent faire appel à une société de conseil en informatique qui les aidera à déchiffrer leurs fichiers. Cependant, Check Point Research a récemment découvert un nouveau développement dans le secteur des logiciels rançonneurs, sous la forme d’une société de conseil en informatique, en l’occurrence une entreprise russe nommée « Dr. Shifro », qui prétend légitimement récupérer des fichiers chiffrés, mais qui en fait se contente de payer la rançon auprès de l’auteur du logiciel malveillant puis répercute le coût sur la victime, avec une marge significative.
Les logiciels rançonneurs en chiffres :
En 2017, les logiciels rançonneurs ont pris le devant de la scène avec les attaques catastrophiques de WannaCry, NotPetya et Bad Rabbit. Ils restent toujours des menaces majeures, avec par exemple des effets dévastateurs sur la ville d’Atlanta en début d’année, empêchant les services critiques de la ville de fonctionner, jusqu’aux ravages constants causés sur le secteur de la santé. En effet, ce dernier continue de subir des attaques de logiciels rançonneurs, certaines demandes de rançon pouvant atteindre près de 3 millions de dollars dans certains cas. De telles demandes sont toutefois considérées comme rares. La moyenne des rançons demandées est d’environ 10 000 dollars.
Selon une étude des menaces liées à la criminalité organisée sur Internet menée par Europol en 2018, la valeur estimée du secteur des logiciels rançonneurs atteint désormais 5 milliards de dollars, qui sont soustraits de l’économie mondiale chaque année. En fait, c’est un outil d’attaque de base pour les cybercriminels du monde entier, qui a également permis à des secteurs artisanaux secondaires de se développer autour de lui. Ils comprennent des offres de RaaS (logiciels rançonneurs sous forme de service) qui permettent à des criminels ayant un très faible savoir-faire technique de diffuser les logiciels rançonneurs développés par des pirates plus compétents. Des programmes d’affiliation pour logiciels rançonneurs se sont également développés pour permettre à leurs créateurs de réclamer une part des profits aux affiliés qui diffusent leurs logiciels rançonneurs.
Comme nous allons le voir maintenant, la découverte de Dr. Shifro est le dernier développement en date du paysage des logiciels rançonneurs en constante évolution.
Qui allez-vous appeler ?
Lorsque des fichiers vitaux sont prises en otage, avec demande de rançon très élevée, il n’est pas étonnant que les entreprises tentent tout ce qu’elles peuvent pour les récupérer.
À ce stade, il existe trois options possibles :
- La restauration de tous les fichiers verrouillés à partir d’une sauvegarde.
- Le paiement de la rançon à l’auteur de la menace responsable du verrouillage des fichiers.
- Le paiement d’un consultant en informatique capable de récupérer les fichiers sans payer la rançon.
Pour ceux qui n’ont pas de sauvegarde de fichiers ou qui ne veulent pas payer le montant de la rançon, la troisième option est généralement un choix judicieux. Malheureusement, Check Point Research a découvert un nouveau développement unique et préoccupant dans le paysage des logiciels rançonneurs.
Notre équipe a été très étonnée de découvrir un service de « conseil en informatique » en ligne nommé « Dr. Shifro », ne proposant qu’un seul service : aider les victimes de logiciels malveillants à récupérer leurs fichiers. Pour une société de conseil en informatique, n’offrir qu’un seul service est très inhabituel voire suspect.
Dr Shifro promet également des exploits éblouissants de cybermagie pour déchiffrer les fichiers pris en otage par le logiciel rançonneur Dharma/Crisis (pour lequel aucune clé de déchiffrement n’est disponible), entre autres. Alors que les services informatiques traditionnels expliquent généralement qu’ils ne peuvent faire que de leur mieux sans faire aucune promesse, il semble étrange que Dr Shifro garantisse le déchiffrement des fichiers, surtout lorsqu’une clé publique n’est même pas disponible.
Au terme d’une enquête secrète, il est rapidement apparu que Dr Shifro prenait contact avec des auteurs de logiciels rançonneurs et concluait un accord avec ces derniers pour déchiffrer les fichiers des victimes en échange du paiement de la rançon (1 300 dollars). Dr Shifro répercutait ensuite ce coût sur les victimes en ajoutant sa propre marge (1 000 dollars supplémentaires). Vous trouverez ci-dessous une partie de la correspondance entre Dr Shifro et un auteur de logiciel rançonneur, dans laquelle nous pouvons constater le déroulement des « services » de Dr Shifro. En joignant directement l’auteur de la menace pour collecter la clé de déchiffrement, en échange d’un paiement, Dr. Shifro agit simplement comme intermédiaire entre la victime et l’agresseur.
Traduction de l’email de Dr. Shifro adressé à un auteur de logiciel rançonneur :
Je suis un intermédiaire. Nous fournissons régulièrement des clés à des clients depuis 2015. Envoi de bitcoins, pas de questions idiotes. Les clients sont fréquemment transmis par recommandation. Pouvez-vous réduire le coût à 0,15 btc ?
Une partie de la correspondance entre Dr Shifro et un auteur de logiciel rançonneur.
Cela constitue un modèle économique attractif. Après tout, il semblerait que toutes les parties aient à y gagner. Les fichiers de la victime sont déchiffrés, le cybercriminel reçoit le paiement de la rançon et Dr Shifro, avec une marge bénéficiaire de presque 100 %, gagne une jolie somme en tant qu’intermédiaire.
Le modèle économique de Dr. Shifro
Principales conclusions
La première chose à garder à l’esprit lorsque vous rencontrez des services tels que Dr. Shifro est « si cela semble trop beau pour être vrai, c’est probablement le cas ». Bien qu’il existe des sociétés légitimes de conseil en informatique qui peuvent vous aider à récupérer vos fichiers et rétablir vos systèmes après une attaque de logiciel rançonneur, elles ne font généralement pas de promesses qu’elles ne peuvent tenir. En fait, elles ne peuvent proposer que les clés de déchiffrement déjà accessibles publiquement en ligne et n’offrent ces services de déchiffrement qu’à ceux qui pourraient ne pas être en mesure de le faire eux-mêmes. Toute personne affirmant le contraire devrait être approchée avec prudence.
Les logiciels rançonneurs sont une forme d’attaque aussi dévastatrice que rentable. Nous sommes certains que leur évolution et celle de leur écosystème va se poursuivre. Outre les logiciels rançonneurs sous forme de services et les programmes d’affiliation qui ont vu le jour ces dernières années, la créativité des cybercriminels semble ne pas avoir de limites. Le modèle économique créé par Dr Shifro est attrayant et peut facilement être reproduit par d’autres. Il constitue donc un nouveau développement du secteur des logiciels malveillants dont les personnes et les entreprises devraient se méfier.
Bien entendu, les entreprises ont intérêt à utiliser des solutions de prévention des logiciels rançonneurs sur l’ensemble de leur réseau afin d’éviter toute infection. Pour cette raison, nous recommandons des solutions qui ne s’appuient pas uniquement sur des signatures pour identifier les différentes souches de logiciels rançonneurs, et qui sont en mesure d’émuler et d’extraire des fichiers suspects dans un bac à sable virtuel et de récupérer automatiquement les fichiers chiffrés.
Si vous avez été affecté par un logiciel rançonneur, rendez-vous sur le site « NoMoreRansom » d’Europol pour bénéficier de conseils supplémentaires et de moyens de récupérer des fichiers chiffrés.
Les commentaires sont fermés.