Ransomware : les hackers chinois se joignent aux cybercriminels

Des spécialistes de la sécurité affirment que les hackers proches du gouvernement chinois lancent des attaques par ransomware. D’où la sophistication croissante de ces campagnes d’infection.

Des hackers utilisant les tactiques et outils précédemment associés aux campagnes d’intrusions supportées par le gouvernement chinois se seraient joints aux organisations cybercriminelles exploitant les ransomware, selon quatre sociétés spécialisées dans la sécurité interrogées par Reuters. Rappelons que ces malwares, qui se diffusent chez les particuliers et dans les entreprises via des spams mais aussi par le biais de sites piégés, chiffrent les données de leurs victimes et réclament une rançon (la plupart du temps en bitcoin) pour restaurer l’accès aux informations devenues illisibles. Aux Etats-Unis et en France, le dernier malware de ce type se nomme Locky, une souche qui n’en finit plus de muter pour mieux contourner passerelles antispam et antivirus.

C’est justement la sophistication des attaques récentes par ransomware qui conduit des spécialistes de la sécurité à mettre en cause les hackers proches du gouvernement chinois. Les sociétés spécialisées interrogées par nos confrères, dont Dell SecureWorks, ont étudié une demi-douzaine d’attaques sophistiquées par ransomware aux Etats-Unis ces trois derniers mois. Elles relèvent des similitudes entre ce qu’elles ont observé et les pratiques des hackers chinois dans les techniques d’intrusion, les mouvements latéraux (pour gagner un accès à d’autres systèmes depuis la zone d’infection) ou encore dans les logiciels exploités pour superviser les attaques.

Des hackers privés de vivres par Pékin ?

Dell SecureWorks explique ainsi avoir été appelé sur trois attaques au cours du dernier trimestre, au cours desquelles les hackers ont exploité une vulnérabilité connue sur des serveurs d’application pour diffuser leurs ransomware. A chaque fois, les assaillants sont parvenus à infecter plus de 100 systèmes. Dans un cas – une société de transports dont le nom n’a pas été dévoilé -, le ransomware est même parvenu à prendre la main sur 30 % des machines du parc. En plus de SecureWorks, trois autres sociétés spécialisées – Attack Research, InGuardians et G-C Partners – soupçonnent l’implication d’un groupe de hackers chinois de haut niveau (connu sous le nom de Codoso).

Ce glissement vers le cybercrime pourrait être le signe d’un changement de posture du gouvernement chinois, qui suite aux accords passés avec Washington pourrait avoir réduit son soutien à ces groupes de hackers. Ces derniers se tourneraient donc vers les très rentables ransomware pour combler ce manque à gagner. Phil Burdette, qui dirige l’équipe de réponse aux incidents de Dell SecureWorks, émet une autre hypothèse : ces demandes de rançon pourraient être l’ultime phase de l’infection d’une entreprise. Une fois les secrets industriels récupérés, les hackers soutireraient un peu d’argent à leurs victimes.

Le ransomware KeRanger cadenasse les utilisateurs de Mac

Le ransomware Locky inonde la France, via de fausses factures Free Mobile