
Ransomware : Frag s’attaque aussi bien à Windows qu’à Linux et ESXi
Active depuis au moins octobre 2024, cette enseigne dont la vitrine a été découverte fin mars, dispose d’un rançongiciel pour Windows et de variants pour Linux et ESXi. Tous trois supportent, de manière optionnelle, le chiffrement partiel des données.
C’est autour du 24 mars 2025 qu’a été découverte publiquement la vitrine de l’enseigne de rançongiciel Frag. Elle affiche actuellement 28 victimes, dont la dernière revendiquée le 4 avril. Mais ses activités avaient démarré antérieurement.
C’est tout d’abord la date associée à la publication de présentation de l’enseigne qui le suggère : le 11 février 2025. À cela s’ajoutent les dates associées aux revendications de victimes de l’enseigne, la première étant le 28 février.
La franchise de ransomware Frag partage les données de ses victimes via BitTorrent, à l’instar d’Akira. Là, nouvelle indication : le premier fichier Torrent a été créé le 19 février 2025. Mais comme pour Akira, il est possible d’estimer les dates d’exfiltration des données en ne téléchargeant que partiellement les archives de fichiers. Ces calculs font remonter de premières victimes au mois d’octobre 2024.
Cette estimation est confortée par un premier échantillon du rançongiciel de Frag pour Windows, disponible notamment sur VirusTotal, dont la date de création est du 21 novembre 2021. Des échantillons du ransomware de l’enseigne sont également disponibles pour Linux et ESXi.
Tous trois intègrent des options permettant l’activation du chiffrement partiel des données des victimes sur les hôtes compromis, de 1 à 100 % à partir du début des fichiers. La valeur par défaut est fixée à 10 %. D’autres options permettent le parcours et le chiffrement récursif des fichiers sur l’arborescence des volumes montés, ainsi que l’auto-effacement de l’exécutable de chiffrement.
La note de rançon stipule un délai de deux semaines, précisément, pour « résoudre » la situation avec les assaillants. Elle fournit également des moyens de communication, dont une interface Web, accessible via Tor, à une adresse qui, à ce stade, apparaît soit unique à la victime, soit modifiée régulièrement.
À date, les données des victimes de Frag sont distribuées sous forme de fichiers compressés RAR et 7zip, suggérant l’implication d’au moins deux acteurs malveillants distincts.