Des améliorations techniques apportées au malware en font une menace véritablement dangereuse et l’un des « crypteurs » les plus élaborés à ce jour.

Le malware Onion est le successeur d’autres « crypteurs » connus comme CryptoLocker, CryptoDefence/CryptoWall, ACCDFISA ou encore GpCode. Il incarne un nouveau type de ransomware de cryptage qui utilise un mécanisme de compte à rebours pour menacer ses victimes et les contraindre à verser une somme en Bitcoins, en échange du décryptage de leurs données. Les cybercriminels affirment ainsi qu’il ne reste qu’un délai de 72 heures pour payer, faute de quoi tous les fichiers seront perdus à jamais.

Pour transférer des informations secrètes et des coordonnées de paiement, Onion communique avec des serveurs de commande et de contrôle (C&C) situés quelque part sur le réseau anonyme. Précédemment, les chercheurs de Kaspersky Lab ont déjà rencontré ce type d’architecture de communication, mais uniquement employé par quelques familles de malwares bancaires, à l’exemple de ZeuS 64 bits renforcé avec Tor.

« Il semble qu’après avoir fait ses preuves comme moyen de communication, Tor soit à présent utilisé par d’autres types de programmes malveillants. Le malware Onion présente des améliorations techniques par rapport aux cas précédents où les fonctions de Tor ont servi dans des attaques. Le masquage des serveurs C&C au sein d’un réseau Tor anonyme complique la recherche des cybercriminels, tandis que le recours à une méthode cryptographique peu orthodoxe rend impossible le décryptage des fichiers, même si le trafic est intercepté entre le trojan et le serveur. Toutes ces caractéristiques en font une menace extrêmement dangereuse et l’un des « crypteurs » en circulation les plus avancés sur le plan technologique », commente Fedor Sinitsyn, Senior Malware Analyst chez Kaspersky Lab.

Pour en savoir plus sur la méthode de cryptage, rendez-vous sur le blog de securelist.com.

Une infection en trois étapes

Pour atteindre un terminal, le malware Onion passe tout d’abord par le botnet Andromeda (Backdoor.Win32.Androm). Ce dernier reçoit alors l’ordre de télécharger et d’exécuter, sur le terminal infecté, un autre programme malveillant de la famille Joleee. Cet autre malware télécharge à son tour Onion sur l’appareil en question. Cela ne représente toutefois que l’un des différents modes de propagation possibles observés par Kaspersky Lab.

Répartition géographique

La plupart des tentatives d’infection ont été enregistrées dans la CEI (les pays de l’ex-URSS), tandis que des cas isolés ont été repérés en Allemagne, en Bulgarie, en Israël, aux Emirats Arabes Unis et en Libye.

Les plus récents échantillons du malware offrent une interface utilisateur en langue russe et, de plus, un certain nombre de messages dans le code trojan sont en russe. Cela donne à penser que les auteurs du programme parlent cette langue.

Précautions à prendre

· Sauvegarder les fichiers importants

Le meilleur moyen d’assurer la sécurité des données critiques est d’en effectuer régulièrement des sauvegardes et ce, sur un périphérique de stockage qui n’est accessible que pendant la durée de l’opération (par exemple, un périphérique mobile qui est « éjecté » dès la sauvegarde terminée). Faute de cette précaution, les copies de sauvegarde seront elles aussi infectées et cryptées par le ransomware, de la même façon que les originaux.

· Installer un antivirus

Une solution de sécurité doit être activée en permanence, ainsi que l’ensemble de ses composants. Les bases de données antivirales doivent également être tenues à jour.