Le ransomware Popcorn time dont l’existence vient d’être révélée, propose un mode opératoire inédit. Le ransomware offre à ses victimes la possibilité de récupérer gratuitement leurs données dès lors qu’elles acceptent d’infecter deux autres personnes. L’intérêt évident étant de bénéficier d’un taux de succès plus important pour le ransomware puisque l’émetteur de l’email véhiculant Popcorn Time est ainsi déjà connu du destinataire.
Communiqué de presse – Régis Bénard, Consultant technique de Vade Secure, l’éditeur français spécialisé dans les solutions de protection des boites de messagerie (350 millions de boîtes protégées à travers le monde) vous propose son commentaire :
« La revendication de ce nouveau ransomware venant soi-disant d’étudiants syriens en informatique qui n’ont que ce moyen pour survivre est fortement douteuse. Mais l’exploitation de chaîne (comme la chaîne de Ponzi) est une des dérives à laquelle il fallait s’attendre en tant qu’alternative à la rançon, puisque de plus en plus d’entreprises ne paieront pas (ce qui est d’ailleurs encore une fois très largement recommandé). Ceci-dit participer à la diffusion de ransomware et infecter ses connaissances est finalement pire que de payer la rançon. La cybercriminalité expérimente ainsi l’affiliation sous une forme inédite par la corruption des victimes, et par la menace. Ce nouveau type de diffusion est, il faut le reconnaître assez malin. En effet, dès lors que le ransomware est véhiculé par un émetteur identifié, le piège devient redoutable pour la victime « amie ». L’une des principales bonnes pratiques suggérées aux employés est de n’ouvrir les pièces jointes des emails reçus que lorsque l’expéditeur est identifié, ce qui est le cas ici. L’usurpation d’identité bien faite reste évidemment un prérequis pour garantir la meilleure « délivrabilité » possible au ransomware. Popcorn Time est donc malin dans le sens où on ne peut pas plus crédible qu’une identité vérifiée et authentique…
Malgré cela cette méthode reste toutefois marginale et trop risquée pour les victimes qui se retrouveront dès lors responsables et condamnables, sans compter que les connaissances potentiellement visées pourraient à leur tour leur retransmettre l’attaque.
Les éditeurs de solutions de sécurité cherchent aujourd’hui à imaginer quel sera l’avenir du ransomware, car il est évident qu’il changera de forme. Et à ce jour, l’une des pistes les plus probables est le « Doxware » qui menacera la victime de diffuser publiquement les informations prises en otages. Dans tous les cas le ransomware a encore un bel avenir… ».
Vade Secure rappelle quelques chiffres illustrant l’évolution des ransomware :
- 4 fois plus de ransomware entre 2015 et 2016 – Source étude Barkly
- Fin mars, 93% des phishing étaient des ransomware (56% en décembre, 10% en moyenne en 2015) – source PhishMe
Régis Bénard conclut : « Identifier les nouveaux types de ransomwares le plus rapidement possible est l’objectif de tous les éditeurs de solutions antivirus. Les solutions que nous fournissons chez Vade Secure permettent de se protéger des ransomwares avant même que ceux-ci n’aient été identifiés. Nous travaillons sur plusieurs éléments pour cela :
- L’analyse de l’email reçu(sa réputation, sa méthode d’envoi, son volume d’envoi, etc.). Sans même avoir besoin d’analyser la pièce jointe, nous sommes capables d’identifier qu’un email est illégitime et le filtrer.
- L’analyse de la pièce jointe qui n’est pas le virus directement, mais un dropper (fichier permettant de télécharger ensuite le virus). Les droppers sont souvent des documents Word contenant des macros ou des fichiers .js. Grâce à une analyse heuristique, nous sommes en mesure d’identifier des éléments qui sont généralement utilisés dans des mails dangereux et les bloquer.
- L’analyse des liens contenus dans l’email afin d’identifier le contenu vers lequel un email tenterait de rediriger une personne. Il arrive que l’email ne contienne aucune pièce jointe mais seulement à lien pour aller télécharger le virus ».
Les commentaires sont fermés.