La mutation est à l’œuvre sur le marché des rançongiciels, ces logiciels qui cadenassent les fichiers ou les PC et réclament de l’argent pour les débloquer. Traditionnellement écrit en C++, un chercheur de la firme Emsisoft a mis la main sur un ransomware écrit en JavaScript. Ce dernier baptisé Ransom32 est codé depuis le framework NW.js. Ce dernier était connu auparavant sous le nom Node-Webkit.
Cette plateforme facilite la création par les développeurs d’applications en JavaScript pour Windows, Linux et Mac OS X. Elle s’appuie sur les projets Node.js et Chromium. Pour autant, si le malware est disponible sur plusieurs OS, le blog d’Emsisoft constate que le ransomware ne fonctionne que sous Windows. Concrètement, NW.js utilise une version allégée de WebKit, le moteur de rendu utilisé dans Chrome, Safari et Opera, mais sans fixer de limitation. Les développeurs peuvent ainsi interagir directement avec le système d’exploitation.
Est-ce que les créateurs de Ransom32 n’ont pas eu le temps de peaufiner leurs solutions pour d’autres OS ? Possible, car les échantillons trouvés datent du 19 décembre. Une date qui fait penser à une phase de test ou de rodage. « La plupart des gens sont partis en vacance et le ransomware n’a pas montré sa plénitude, une période aussi propice pour se développer en passant sous les radars de détection des antivirus », explique Fabien Wosar d’Emsisoft à nos confrères de Softpedia. Il s’attend à ce que d’autres cybercriminels modifient et fassent évoluer le rançongiciel.
Le malware est distribué via des campagnes de spams (facture, bon de livraison, etc.). La charge utile du ransomware est une archive WinRAR comprenant plusieurs fichiers pour infecter l’ordinateur. Ransom32 est disponible sur le Dark Web en modèle à la demande (RaaS). L’apprenti pirate peut configurer le ransomware et le télécharger (22 Mo de fichiers), puis il lui suffit de donner une adresse Bitcoin pour que les sommes versées par les victimes lui parviennent. Les créateurs de Ransom32 prélèvent au passage une commission de 25%. Le chercheur en sécurité pointe aussi un haut degré de perfection en matière de chiffrement, au point que Ransom32 est selon lui actuellement indéchiffrable.
A lire aussi :
Sous la marque Horizon OS, Meta va ouvrir le système d'exploitation des casques Quest à…
Après avoir essaimé dans 145 pays, la communauté de femmes de la tech Women Who…
Les voix du CISPE et des associations d'utilisateurs s'accordent face à Broadcom et à ses…
Bonnes pratiques, indicateurs, prestataires... Aperçu de quelques arbitrages que le comité d'organisation de Paris 2024…
Le 31 mars 2023, le PTCC (Programme de transfert au Campus Cyber) était officiellement lancé.…
Nicolas Gour, DSI du groupe Worldline, explique comment l’opérateur de paiement fait évoluer sa gouvernance…