Des rançongiciels toujours promis à un bel avenir

Pour Wieland Alge, vice-président EMEA de Barracuda Networks, « les attaques de ransomware sont de plus en plus populaires, et il est vraisemblable que cela reste le cas dans un futur proche ». Et il y a plusieurs bonnes raisons à cela : « il est devenu facile de développer un ransomware efficace, au point qu’il est même possible d’acheter aujourd’hui un ransomware as a service ». Et puis, l’émergence de systèmes de paiement facilitant les transferts anonymes font qu’il « est à présent moins compliqué pour les criminels d’extorquer de l’argent sans être tracer ». En somme, le rançongiciel rend le crime d’une redoutable facilité.

Travis Smith, ingénieur chez Tripwire, ne dit pas autre chose : « le risque d’être pris dans l’acte d’infecter des victimes avec un rançongiciel est considérablement réduit par rapport à d’autres activités criminelles ». Et le retour sur investissement, estimé à plus de 1 400 % par Trustwave, est plus qu’attractif : « récemment, le ransomware CryptXXX a généré plus de 45000 $ en versements de rançons en l’espace de seulement trois semaines ».

Florian Coulmier, responsable production & cybercriminalité de Vade Retro, fait le même constat : « après l’année 2015 que nous avons connu, il faut s’attendre à une multiplication des ransomwares car c’est un business model très rentable ».

Et face à ce qui s’apparente à une menace diffuse, les entreprises apparaissent mal préparées. Fin avril, une étude de l’institut Ponemon pour CounterTak révélait ainsi que seulement 38 % des spécialistes de la sécurité informatique disposent d’une stratégie pour faire face aux logiciels malveillants destructeurs, dont font partie les ransomwares. Un peu plus tôt, PhishMe prévenait pourtant : le nombre des attaques par ransomware est appelé à progresser. Et la course à la sophistication n’est pas terminée.

Fin mai, Eset alertait d’une nouvelle campagne mettant à profit Locky, en Europe notamment. CryptXXX continue de son côté d’évoluer. Et d’autres apparaissent.

Fin juin, Malwarebytes alertait ainsi sur Satana, apparemment inspiré du couple Petya/Mischa. Pour Régis Benard, consultant technique de Vade Retro, « la diffusion de ce ransomware Satana ressemble à une phase de tests réalisée par ses auteurs, car les bots utilisés sont toujours de même nature et tout porte à croire que les auteurs cherchent à faire évoluer leur ‘offre’. Une diffusion de malware d’un nouveau genre est attendue par les analystes car la méthode Locky a fait son temps et doit être renouvelée. En parallèle, nous constatons aujourd’hui des creux très nets dans les vagues massives de malwares qui semblent s’interrompre sans raison évidente. La raison de ces creux ne serait-elle pas tout simplement le besoin d’utiliser les machines infectées afin de tester les nouvelles formes de malware ? »

Mais à la même période, un autre rançongiciel a fait son apparition : Zepto. Il aurait déjà fait des victimes en France. Chez Sophos, Paul Ducklin relève qu’il s’avère « très similaire au bien connu Locky. Avec une différence : « après une attaque de Zepto, les fichiers sont renommés avec l’extension .zepto », au lieu de .locky.

Parallèlement, les chercheurs de Proofpoint ont identifié Bart, qui se télécharge sur HTTPS via le logiciel malveillant RockLoader, également utilisé par Locky pour sa propagation. Les similitudes ne s’arrêtent pas là : « Bart affiche un écran de paiement similaire à Locky ». Toutefois, explique l’éditeur, « il chiffre les fichiers sans se connecter au préalable à un serveur de commande et de contrôle ». Une différence importante car, du coup, Bart « est peut-être en mesure de s’attaque à des PC protégés par des pare-feu d’entreprise qui bloqueraient ce type de trafic ».

En attendant, les recherches pour tenter de contrer la menace continuent, avec plus ou moins de succès. Une équipe de chercheurs de l’université de Floride viennent de présenter leur dernière trouvaille en la matière, qu’ils appellent CryptoDrop. L’idée de base consiste non pas à chercher à protéger l’ordinateur contre la compromission, ni même à déchiffrer brutalement les fichiers pris en otages, mais à interrompre le rançongiciel après qu’il a commencé son œuvre : « notre système est plus qu’un système d’alerte avancée. Il n’empêche pas le ransomware de démarrer, il l’empêche de finir sa tâche ». Et Nolen Scaife, l’un des membres de l’équipe d’expliquer : « vous perdez seulement quelques images ou quelques documents, plutôt que tout ce qui est sur votre disque dur. Et cela vous évite d’avoir à payer une rançon ».