Des chercheurs de la firme Emsisoft ont découvert une nouvelle famille de ransomware baptisée Spora. Et ses particularités ont de quoi effrayer : ce malware procède à un chiffrement fort des fichiers en mode déconnecté et apporte des innovations sur la façon de payer la rançon. Ce rançongiciel a ciblé, pour l’instant, les utilisateurs russophones via une campagne de spam, soulignent les spécialistes, même si l’existence d’une version anglaise du portail du déchiffrement suggère que le malware a vocation à s’étendre à d’autres pays.
Dans le détail, Spora se démarque par sa méthode de chiffrement. En effet, il est capable de crypter les fichiers sans contacter un serveur de commande et contrôle (C&C) et octroie à chaque victime une clé unique. Habituellement, les ransomwares génèrent une clé AES (Advanced Encryption Standard) pour chaque fichier, puis ils chiffrent ces clés avec une clé publique RSA générée par un serveur C&C.
Pour mémoire, le chiffrement à clé publique combine deux clés, une publique et une privée. De sorte qu’un fichier crypté avec une clé publique ne peut être déchiffré qu’avec sa clé privée correspondante. Quand le ransomware s’installe sur une machine, il sollicite le serveur C&C pour obtenir la génération d’une paire de clés RSA. La clé publique est alors téléchargée sur le PC, mais la clé privée reste sur le serveur et fait l’objet de la rançon. Le problème de cette technique du point de vue des cybercriminels ? Le lien entre la ou les machines victimes et le serveur C&C peut être bloqué par un pare-feu.
Certains ransomwares se sont donc tournés vers un chiffrement hors connexion, mais ils utilisent la même clé publique RSA codée dans le malware pour l’ensemble des victimes. Conséquence : un outil de déchiffrement efficace sur une machine prise en otage fonctionnera avec toutes les victimes.
Les créateurs de Spora ont trouvé comment dépasser ces limites, selon les chercheurs d’Emsisoft. Pour résumer le procédé, les cybercriminels ont ajouté un deuxième cycle de chiffrement AES et RSA au mécanisme traditionnel de chiffrement par les ransomwares. Et tout cela en mode déconnecté.
Une technique redoutable et surtout pour l’instant imparable, « après examen de la façon dont Spora effectue son chiffrement, il n’existe aucun moyen de restaurer les fichiers chiffrés sans accès à la clé privée de l’auteur du malware », indiquent les chercheurs d’Emsisoft.
L’autre « innovation » de Spora réside dans les moyens de paiements de la rançon. Les pirates ont imaginé un système leur permettant de demander des rançons différentes pour chaque victime. Concrètement, les clés de chiffrement téléchargeables sur le site web de paiement contiennent des fichiers d’identification collectés par le malware sur les PC infectés. Dont des identifiants de campagne. Les cybercriminels peuvent ainsi mener des campagnes ciblées et savoir qui les contacte pour adapter le montant de la rançon en fonction.
Plus pervers encore, Spora ajoute des fonctionnalités payantes, directement inspirées de techniques marketing. « Immunité » garantit ainsi que le malware n’infectera pas à nouveau un ordinateur. « Suppression » promet l’éradication du malware après avoir déchiffré les fichiers. Et, dans leur grande générosité, les cybercriminels vous font une ristourne si vous achetez l’ensemble des fonctionnalités. Pour les victimes un peu perdues, un chat est disponible afin de répondre à leur question. A quand la carte de fidélité ?
A lire aussi :
Après les ransomwares, les bases de données MongoDB prises en otage
Après les ransomwares, la prochaine menace est le ransomworm
OpenAI orchestre un déploiement très progressif de GPT-4o, y compris de ses capacités multimodales.
Elon Musk avait racheté le nom de domaine X.com à PayPal en 2017. Depuis juillet 2023,…
Des centaines d'ingénieurs en IA et cloud travaillant pour Microsoft se voient proposer de quitter…
Reddit s'ajoute à la liste des « partenaires data » d'OpenAI. Qui rejoint-il ?
Younited a utilisé PaLM 2 puis Gemini pour catégoriser des transactions bancaires en vue de…
Les États-Unis vont tripler leur capacité nationale de fabrication de puces et contrôler 30 %…