Découvert et analysé par ESET en 2014, le ransomware TorrentLocker n’a toujours pas disparu, et a même évolué par le biais de multiples améliorations et mises à jour. Point sur cette e-menace difficile à traquer et à analyser.
TorrentLocker est toujours actif et a récemment reçu de profondes améliorations visant à le rendre plus transparent et discret, plus dur à analyser, plus précis (via une liste d’exclusion de pays) et donc plus dangereux. Analysé en 2014 par ESET, TorrentLocker se présente sous la forme d’un e-mail qui encourage à ouvrir le document joint infecté. Lorsque le fichier malveillant est téléchargé et ouvert par l’utilisateur, TorrentLocker s’exécute et entame alors une phase de communication avec le serveur de commande et de contrôle (C&C) et chiffre les fichiers de la victime.
Les chercheurs de chez ESET ont continué de surveiller ce malware et ont récemment fait état de l’apparition d’une nouvelle version plus sophistiquée :
« Le gang derrière TorrentLocker semble toujours être de la partie. Les cybercriminels ont amélioré leurs tactiques et ont apporté progressivement des innovations au ransomware tout en veillant à rester sous les radars », explique Marc-Etienne Léveillé, ESET Malware Researcher.
Une caractéristique bien connue de TorrentLocker réside dans la localisation du téléchargement (visant des pays bien précis et uniquement lors de campagnes ciblées, contrairement à des ransomwares comem Locky), de la rançon et des pages de paiement. Les victimes reçoivent ensuite des informations dans leur propre langue et dans leur monnaie locale. Les améliorations apportées récemment à TorrentLocker portent sur les mécanismes de protection des utilisateurs d’Internet dans les pays sélectionnés. En contactant les serveurs C&C, TorrentLocker attaque la protection du serveur C&C via une couche supplémentaire de chiffrement tout en réduisant le rôle des mécanismes de chiffrement propres aux utilisateurs. L’une des améliorations notables de cryptolocker est aussi l’ajout d’un script dans la chaîne menant au fichier « .exec » infecté.
The one significant alteration has to do with how it tries to contact its command and control server. Formerly, it tried to reach a hardcoded domain over HTTPS, but that has been switched to a random subdomain.
« Le lien contenu dans le message de l’e-mail infecté dirige désormais vers un script PHP hébergé sur un serveur compromis. Ce script vérifie si le visiteur est situé dans le pays visé et, si oui, redirige vers la page où le malware sera téléchargé. Sinon, le visiteur est redirigé vers Google », explique Marc-Etienne Léveillé.
En analysant le malware et ses campagnes, les chercheurs ESET ont constaté que 22 pays ont reçu une version localisée de la page de rançon ou de paiement. Cependant, 7 d’entre eux n’ont pas été touchés jusqu’à présent par une campagne massive de spams TorrentLocker : La France, le Japon, le Portugal, la République de Corée, Taïwan et la Thaïlande. Les détails concernant le crypto-malware TorrentLocker sont disponibles sur WeLiveSecurity.