Crypto ransomware – Entre solutions problématiques et problèmes insolubles

08 juin 2020 - 17:00

Temps de lecture : 3 minutes

Par Hugh B.

Dans le domaine du piratage informatique et des attaques de type ransomware, les assaillants ne manquent malheureusement pas d’inventivité. Cela flirte avec la perversité lorsqu’une solution de décryptage de données se révèle être un nouveau logiciel malveillant. Ou quand la solution est pire que le problème…

L’information pourrait presque faire sourire, pour qui n’a pas encore été victime de ce genre d’attaque ou bénéficie d’un humour assez particulier. En cause, les personnes victimes de crypto ransomware. Il s’agit de ces logiciels malveillants téléchargés à l’insu de l’utilisateur de l’ordinateur, mais bien souvent suite à un clic malheureux de sa part. En résulte un blocage de vos données par cryptage et le versement exigé d’une rançon en cryptomonnaies pour en récupérer l’accès.

Dans le domaine, des solutions existent pour les victimes ayant une certaine maîtrise de l’informatique. Cela prend la forme de logiciels de décryptage parfois payants, mais bien moins chers que la rançon exigée. Et ce qui semble être une solution peut se révéler devenir un nouveau problème s’additionnant au précédent

STOP Djvu et la « solution » Zorab

L’information a été rendue publique sur le compte Twitter de Bleeping Computer, une société spécialisée dans la sécurité informatique. Cela concerne le rançongiciel du nom de STOP Djvu et certaines des offres proposant de le décrypter.

Certaines solutions au ransomware Stop Djvu sont des rançongiciels

Quel soulagement cela doit-être de cliquer sur le bouton de mise en application d’une solution de décryptage d’un ordinateur pris en otage par un ransomware. Au moins aussi intense que le fait de se rendre compte que ce nouveau clic vient en fait de double-crypter l’ordinateur en question. Cela en exécutant le lancement d’un virus du nom de Zorab. Et dans une sorte de glissement pervers, la solution devient le nouveau problème

Cela concerne plus particulièrement le ransomware du nom de STOP Djvu et les « solutions » disponibles pour y remédier. En effet, il semble que certaines d’entre elles contiennent un nouveau logiciel malveillant qui se déclenche lors du lancement de l’analyse de l’ordinateur déjà infecté. Une volonté évidente des pirates de surfer sur le succès actuel du ransomware STOP Djvu qui infecte 600 ordinateurs en moyenne chaque jour

Il est conseillé aux victimes de ne pas payer la rançon réclamée par le ransomware Zorab, dans l’attente de trouver une solution pour en contourner l’infection.

Des pirates toujours plus gourmands

Parallèlement à cela, un récent rapport de la firme de cybersécurité Crypsis Group indique une forte augmentation des montants exigés par les crypto ransomwares entre 2018 et 2019. Une hausse estimée à + 200% sur cette période. La somme totale extorquée par ces pirates en 2019 se monte à plus de 115 000$. Ce qui permet d’extrapoler qu’à ce rythme elle pourrait tout simplement doubler pour l’année 2020.

Les crypto ransomwares réclament des rançons plus élevées

Cependant, cette information peut se révéler rassurante pour les particuliers. Il semble en effet que les attaquants se concentrent dorénavant bien plus sur des cibles institutionnelles, dont 22% représentent des services de santé.  C’est en tout cas ce que met très nettement à jour le rapport de Crypsis Group.

« Depuis 2018, les acteurs de la menace sont passés du déploiement de campagnes de phishing à grande diffusion avec des demandes de rançon plus faibles à des attaques hautement ciblées et bien documentées contre les grandes entreprises aux poches plus profondes. » – Crypsis Group

Un changement de cap qui se justifie essentiellement par une question de rentabilité. À croire que les instigateurs de ces arnaques se sont livrés à une étude de marché approfondie dans le domaine. Car il est indéniablement plus intéressant de réclamer des centaines de milliers de dollars à une seule entité clairement solvable plutôt que quelques milliers à des individus éparpillés et sélectionnés selon le principe du clic malheureux.

Un changement de stratégie

Cette augmentation des montants liés aux attaques de type ransomwares pourrait également s’expliquer par une baisse des versements réalisés par les victimes concernées. Cela associé à une amélioration des systèmes de protection mis en place par les grandes entreprises. Raison pour laquelle les victimes atteintes se retrouvent à payer pour garantir le niveau de revenu perdu des attaquants.

Le groupe à l’origine du rançongiciel The Maze se lance dans la mise en oeuvre de rançons aux montants exorbitants et aux techniques de menaces plus variées.

« Plus d’incidents ont inclus la suppression ou la désactivation des sauvegardes, ainsi que la menace de divulguer publiquement des données sensibles. » – Crypsis Group

Quoi qu’il en soit, les responsables de ces attaques malveillantes expliquent très clairement qu’ils n’ont rien à faire de leurs victimes ou des données récoltés, sauf si cela peut leur permettre de gagner de l’argent. Pas sûr que cette précision soit rassurante !

Recevez le top 3 de l'actualité crypto chaque dimanche