Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Logiciels malveillants : le cas du docteur qui ne prescrivait aucun remède

décembre 2018 par Check Point

Les personnes et les entreprises comptent aujourd’hui beaucoup sur leurs ordinateurs pour
effectuer des tâches. Il n’existe rien de pire que d’être pris en otage par un logiciel rançonneur, et
elles s’opposent souvent au paiement de la rançon demandée. Après tout, si rien ne garantit que le
criminel tiendra parole et rendra l’accès aux fichiers, à quoi bon payer ? Pour éviter de payer, les
victimes peuvent faire appel à une société de conseil en informatique qui les aidera à déchiffrer
leurs fichiers.

Cependant, Check Point Research a récemment découvert un nouveau développement dans le
secteur des logiciels rançonneurs, sous la forme d’une société de conseil en informatique, en
l’occurrence une entreprise russe nommée « Dr. Shifro », qui prétend légitimement récupérer des
fichiers chiffrés, mais qui en fait se contente de payer la rançon auprès de l’auteur du logiciel
malveillant puis répercute le coût sur la victime, avec une marge significative.
Les logiciels rançonneurs en chiffres :
En 2017, les logiciels rançonneurs ont pris le devant de la scène avec les attaques catastrophiques
de WannaCry, NotPetya et Bad Rabbit. Ils restent toujours des menaces majeures, avec par
exemple des effets dévastateurs sur la ville d’Atlanta en début d’année, empêchant les services
critiques de la ville de fonctionner, jusqu’aux ravages constants causés sur le secteur de la santé. En
effet, ce dernier continue de subir des attaques de
logiciels rançonneurs, certaines demandes de
rançon pouvant atteindre près de 3 millions de
dollars dans certains cas. De telles demandes sont
toutefois considérées comme rares. La moyenne
des rançons demandées est d’environ
10 000 dollars.

Selon une étude des menaces liées à la criminalité
organisée sur Internet menée par Europol en 2018,
la valeur estimée du secteur des logiciels
rançonneurs atteint désormais 5 milliards de dollars, qui sont soustraits de l’économie mondiale
chaque année. En fait, c’est un outil d’attaque de base pour les cybercriminels du monde entier, qui
a également permis à des secteurs artisanaux secondaires de se développer autour de lui. Ils
comprennent des offres de RaaS (logiciels rançonneurs sous forme de service) qui permettent à des
criminels ayant un très faible savoir-faire technique de diffuser les logiciels rançonneurs développés
par des pirates plus compétents. Des programmes d’affiliation pour logiciels rançonneurs se sont
également développés pour permettre à leurs créateurs de réclamer une part des profits aux
affiliés qui diffusent leurs logiciels rançonneurs.
Comme nous allons le voir maintenant, la découverte de Dr. Shifro est le dernier développement en
date du paysage des logiciels rançonneurs en constante évolution.

Qui allez-vous appeler ?

Lorsque des fichiers vitaux sont prises en otage, avec demande de rançon très élevée, il n’est pas
étonnant que les entreprises tentent tout ce qu’elles peuvent pour les récupérer.

À ce stade, il existe trois options possibles :
1) La restauration de tous les fichiers verrouillés à partir d’une sauvegarde.
2) Le paiement de la rançon à l’auteur de la menace responsable du verrouillage des fichiers.
3) Le paiement d’un consultant en informatique capable de récupérer les fichiers sans payer la
rançon.

Pour ceux qui n’ont pas de sauvegarde de fichiers ou qui ne veulent pas payer le montant de la
rançon, la troisième option est généralement un choix judicieux. Malheureusement, Check Point
Research a découvert un nouveau développement unique et préoccupant dans le paysage des
logiciels rançonneurs.
Notre équipe a été très étonnée de découvrir un service de « conseil en informatique » en ligne
nommé « Dr. Shifro », ne proposant qu’un seul service : aider les victimes de logiciels malveillants à
récupérer leurs fichiers. Pour une société de conseil en informatique, n’offrir qu’un seul service est
très inhabituel voire suspect.

Dr Shifro promet également des exploits éblouissants de cybermagie pour déchiffrer les fichiers pris
en otage par le logiciel rançonneur Dharma/Crisis (pour lequel aucune clé de déchiffrement n’est
disponible), entre autres. Alors que les services informatiques traditionnels expliquent
généralement qu’ils ne peuvent faire que de leur mieux sans faire aucune promesse, il semble
étrange que Dr Shifro garantisse le déchiffrement des fichiers, surtout lorsqu’une clé publique n’est
même pas disponible.

Le site web de Dr. Shifro annonçant ses services de déchiffrement de fichiers
Au terme d’une enquête secrète, il est rapidement apparu que Dr Shifro prenait contact avec des
auteurs de logiciels rançonneurs et concluait un accord avec ces derniers pour déchiffrer les fichiers des victimes en échange du paiement de la rançon (1 300 dollars). Dr Shifro répercutait ensuite ce
coût sur les victimes en ajoutant sa propre marge (1 000 dollars supplémentaires).
Vous trouverez ci-dessous une partie de la correspondance entre Dr Shifro et un auteur de logiciel
rançonneur, dans laquelle nous pouvons constater le déroulement des « services » de Dr Shifro. En
joignant directement l’auteur de la menace pour collecter la clé de déchiffrement, en échange d’un
paiement, Dr. Shifro agit simplement comme intermédiaire entre la victime et l’agresseur.

Traduction de l’email de Dr. Shifro adressé à un auteur de logiciel rançonneur :
Je suis un intermédiaire. Nous fournissons régulièrement des clés à des clients depuis 2015.
Envoi de bitcoins, pas de questions idiotes. Les clients sont fréquemment transmis par
recommandation. Pouvez-vous réduire le coût à 0,15 btc ?
Une partie de la correspondance entre Dr Shifro et un auteur de logiciel rançonneur.
Cela constitue un modèle économique attractif. Après tout, il semblerait que toutes les parties
aient à y gagner. Les fichiers de la victime sont déchiffrés, le cybercriminel reçoit le paiement de la
rançon et Dr Shifro, avec une marge bénéficiaire de presque 100 %, gagne une jolie somme en tant
qu’intermédiaire.
Le modèle économique de Dr. Shifro

Principales conclusions

La première chose à garder à l’esprit lorsque vous rencontrez des services tels que Dr. Shifro est « si
cela semble trop beau pour être vrai, c’est probablement le cas ». Bien qu’il existe des sociétés
légitimes de conseil en informatique qui peuvent vous aider à récupérer vos fichiers et rétablir vos
systèmes après une attaque de logiciel rançonneur, elles ne font généralement pas de promesses
qu’elles ne peuvent tenir. En fait, elles ne peuvent proposer que les clés de déchiffrement déjà
accessibles publiquement en ligne et n’offrent ces services de déchiffrement qu’à ceux qui
pourraient ne pas être en mesure de le faire eux-mêmes. Toute personne affirmant le contraire
devrait être approchée avec prudence.
Les logiciels rançonneurs sont une forme d’attaque aussi dévastatrice que rentable. Nous sommes
certains que leur évolution et celle de leur écosystème va se poursuivre. Outre les logiciels
rançonneurs sous forme de services et les programmes d’affiliation qui ont vu le jour ces dernières
années, la créativité des cybercriminels semble ne pas avoir de limites. Le modèle économique créé
par Dr Shifro est attrayant et peut facilement être reproduit par d’autres. Il constitue donc un
nouveau développement du secteur des logiciels malveillants dont les personnes et les entreprises
devraient se méfier.
Bien entendu, les entreprises ont intérêt à utiliser des solutions de prévention des logiciels
rançonneurs sur l’ensemble de leur réseau afin d’éviter toute infection. Pour cette raison, nous
recommandons des solutions qui ne s’appuient pas uniquement sur des signatures pour identifier
les différentes souches de logiciels rançonneurs, et qui sont en mesure d’émuler et d’extraire des
fichiers suspects dans un bac à sable virtuel et de récupérer automatiquement les fichiers chiffrés.
Si vous avez été affecté par un logiciel rançonneur, rendez-vous sur le site « NoMoreRansom »
d’Europol pour bénéficier de conseils supplémentaires et de moyens de récupérer des fichiers
chiffrés.


Voir les articles précédents

    

Voir les articles suivants