Spora : le ransomware qui chiffre hors connexion et qui se pique de marketing

Des spécialistes ont trouvé un ransomware, nommé Spora, qui chiffre les fichiers en mode déconnecté. La rançon peut être variable en fonction de la campagne menée et les cybercriminels proposent même des fonctions bonus…

Des chercheurs de la firme Emsisoft ont découvert une nouvelle famille de ransomware baptisée Spora. Et ses particularités ont de quoi effrayer : ce malware procède à un chiffrement fort des fichiers en mode déconnecté et apporte des innovations sur la façon de payer la rançon. Ce rançongiciel a ciblé, pour l’instant, les utilisateurs russophones via une campagne de spam, soulignent les spécialistes, même si l’existence d’une version anglaise du portail du déchiffrement suggère que le malware a vocation à s’étendre à d’autres pays.

Dans le détail, Spora se démarque par sa méthode de chiffrement. En effet, il est capable de crypter les fichiers sans contacter un serveur de commande et contrôle (C&C) et octroie à chaque victime une clé unique. Habituellement, les ransomwares génèrent une clé AES (Advanced Encryption Standard) pour chaque fichier, puis ils chiffrent ces clés avec une clé publique RSA  générée par un serveur C&C.

Pour mémoire, le chiffrement à clé publique combine deux clés, une publique et une privée. De sorte qu’un fichier crypté avec une clé publique ne peut être déchiffré qu’avec sa clé privée correspondante. Quand le ransomware s’installe sur une machine, il sollicite le serveur C&C pour obtenir la génération d’une paire de clés RSA. La clé publique est alors téléchargée sur le PC, mais la clé privée reste sur le serveur et fait l’objet de la rançon. Le problème de cette technique du point de vue des cybercriminels ? Le lien entre la ou les machines victimes et le serveur C&C peut être bloqué par un pare-feu.

Un double vague de chiffrement hors connexion

Certains ransomwares se sont donc tournés vers un chiffrement hors connexion, mais ils utilisent la même clé publique RSA codée dans le malware pour l’ensemble des victimes. Conséquence : un outil de déchiffrement efficace sur une machine prise en otage fonctionnera avec toutes les victimes.

Les créateurs de Spora ont trouvé comment dépasser ces limites, selon les chercheurs d’Emsisoft. Pour résumer le procédé, les cybercriminels ont ajouté un deuxième cycle de chiffrement AES et RSA au mécanisme traditionnel de chiffrement par les ransomwares. Et tout cela en mode déconnecté.

spora-chiffrementQuand les victimes veulent payer la rançon, elles doivent télécharger des clés AES sur le site des cybercriminels. Ces derniers utiliseront leur clé privé RSA maître pour retourner à la victime une clé AES via un module de déchiffrement (décrypteur) qui va à son tour débloquer la clé privée RSA générée en local, puis libérer les fichiers chiffrés avec les clés AES. Une sorte de matriochka du chiffrement/déchiffrement qui donne à Spora la capacité de travailler hors connexion et d’éviter la publication d’une clé utile pour l’ensemble des victimes.

Un paiement variable et des bonus

 Une technique redoutable et surtout pour l’instant imparable, « après examen de la façon dont Spora effectue son chiffrement, il n’existe aucun moyen de restaurer les fichiers chiffrés sans accès à la clé privée de l’auteur du malware », indiquent les chercheurs d’Emsisoft.

L’autre « innovation » de Spora réside dans les moyens de paiements de la rançon. Les pirates ont imaginé un système leur permettant de demander des rançons différentes pour chaque victime. Concrètement, les clés de chiffrement téléchargeables sur le site web de paiement contiennent des fichiers d’identification collectés par le malware sur les PC infectés.  Dont des identifiants de campagne. Les cybercriminels peuvent ainsi mener des campagnes ciblées et savoir qui les contacte pour adapter le montant de la rançon en fonction.

Plus pervers encore, Spora ajoute des fonctionnalités payantes, directement inspirées de techniques marketing. « Immunité » garantit ainsi que le malware n’infectera pas à nouveau un ordinateur. « Suppression » promet l’éradication du malware après avoir déchiffré les fichiers. Et, dans leur grande générosité, les cybercriminels vous font une ristourne si vous achetez l’ensemble des fonctionnalités. Pour les victimes un peu perdues, un chat est disponible afin de répondre à leur question. A quand la carte de fidélité ?

option-de-spora

A lire aussi :

Après les ransomwares, les bases de données MongoDB prises en otage

Après les ransomwares, la prochaine menace est le ransomworm