Ransomware : les auteurs de GandCrab annoncent prendre leur retraite

GandCrab compte parmi les principaux rançongiciels en mode service. Ses auteurs se sont régulièrement attachés à le faire évoluer, progresser. Il y a un an, sa version 4.0 permettait par exemple d’étendre son domaine de propagation aux environnements isolés. Au mois de janvier, le Cert-FR alertait d’ailleurs sur une profusion d’attaques par ransomwares prêts à louer, citant notamment GandCrab, Ryuk, SamSam, ou encore Dharma.

Mais voilà, comme le disent eux-mêmes les auteurs de GandCrab, dans une publication de forum relevée par Kevin Beaumont : « toutes les bonnes choses ont une fin ». Les auteurs de ce ransomware annoncent donc prendre une retraite « bien méritée ». Et d’étaler les chiffres. Ainsi, selon eux, « en un an de travail avec nous, des gens ont gagné plus de 2 Md$ […] Les gains avec nous, par semaine, étaient en moyenne de 2,5 M$ ». Et eux-mêmes, les auteurs de GandCrab, revendiquent « plus de 150 M$ » de gains retirés en un an d’activité. Une somme qu’ils assurent avoir pu collecter et blanchir au travers d’activités en ligne et dans le monde physique. Non sans une certaine provocation, ils estiment avoir « prouvé qu’en un an, il est possible de gagner l’argent pour une vie entière ».

GandCrab are going into retirement. Says victims have paid $2 billion and they’ve made $150m profit. pic.twitter.com/w3WIzR6ZVV

— Kevin Beaumont (@GossiTheDog) June 1, 2019

Mais pas question d’afficher pour autant la moindre mansuétude à l’égard des victimes de leur rançongiciel. Le message adressé à ceux-ci est clair et sans concession : payer pour recouvrer ses données, c’est maintenant ou jamais ; car d’ici peu, « personne ne pourra restaurer vos données ; les clés [de chiffrement] seront supprimées ».

Des outils gratuits permettent de déchiffrer les fichiers pris en otage par plusieurs versions de GandCrab, mais pas encore à ce jour la plus récente, à savoir le version 5.2. En février dernier, Europol indiquait que ces outils avaient aidé 10 000 victimes, leur évitant de payer « quelques 5 M$ de rançon ». Ce qui laisse entrevoir une rançon de l’ordre de 500 $ en moyenne.

Pour l’institution européenne, GandCrab a « infecté plus d’un demi-million de victimes depuis qu’il a été détecté pour la première fois en janvier dernier ». Ce qui amènerait à entrevoir un total de l’ordre de 250 M$ de rançons collectées, bien moins que ce qu’avancent les auteurs du ransomware.

Il est toutefois difficile de trancher de manière ferme. A l’automne dernier, Bitdefender soulignait ainsi que les demandes de rançon pour GandCrab variaient selon la victime, pouvant s’étendre « de 600 $ à 700 000 $ ». A l’époque, l’éditeur estimait que ce rançongiciel pouvait avoir conduit à l’extorsion d’au moins 300 M$.