Campagne du ransomware Wildfire interrompue

Le collectif No More Ransom a diffusé les clés de déchiffrement pour une nouvelle souche de ransomware cette semaine ; désormais, les victimes du ransomware WildFire, qui vise principalement les utilisateurs néerlandophones, pourront récupérer leurs fichiers sans devoir payer la rançon aux attaquants.

D’après une mise à jour publiée par la police des Pays-Bas mercredi, la mise hors service du serveur de commande responsable de WildFire a permis de saisir 5 800 clés de déchiffrement, dont près de 3 000 pour des infections aux Pays-Bas et 2 100, pour des infections en Belgique.

Wildfire, à l’instar de la majorité des autres types de ransomware, se propage via du spam malveillant mais la différence est que dans ce cas-ci, les messages sont rédigés dans un « néerlandais parfait » explique Jornt van der Wiel, un chercheur en sécurité membre de l’Equipe internationale de recherche et d’analyse (GReAT) de Kaspersky Lab.

Le ransomware Wildefire, tout comme les souches similaires GNLocker et Zyklon, a surtout ciblé les utilisateurs aux Pays-Bas et en Belgique. Les attaquants à l’origine de la campagne WildFire comptent sur un domaine néerlandais étrange et utilisent vraiment l’adresse de l’entreprise ciblée dans le message électronique, ce qui est rare et qui augmente la probabilité d’ouverture par le destinataire ajoute Jornt van der Wiel.

Les messages sont prétendument envoyés par une société de transport qui tente de livrer un colis. Les victimes potentielles sont encouragées à planifier une nouvelle livraison en remplissant un document. Les documents, hébergés sur le domaine néerlandais bizarre, sont bien entendu bourrés de macros qui, une fois activées, téléchargent et exécutent le ransomware.

WildFire chiffre alors les fichiers de l’utilisateur selon AES en mode CBC et dans la majorité des cas, il impose le versement d’une rançon de 299 euros pour déchiffrer les fichiers. Si la victime attend trop longtemps (plus de huit jours normalement), la rançon passe à 999 euros.

image012 13.38.33

Dans le cadre d’une coopération avec la police néerlandaise, Jornt van der Wiel a été en mesure d’analyser du code appartenant au panneau de commande du réseau de zombies du ransomware et de confirmer que WildFire n’infectait pas les ordinateurs en Russie, en Ukraine, en Biélorussie, en Lettonie, en Estonie ou en Moldavie et ce, probablement pour éviter d’attirer l’attention des autorités locales.

Même en l’absence de ces pays dans la liste des cibles, le malware a remporté un certain succès. Il a été à l’origine de plus de 5 700 infections en un mois. Sur l’ensemble de ces infections, 236 utilisateurs ont payé environ 70 000 euros (78 700 dollars américains). Si les attaquants avaient réussi à poursuivre la campagne, ils auraient pu encaisser 80 000 dollars américains par mois.

Au cours des dernières semaines, le ransomware avaient ciblé des individus aux Pays Bas dans 50 % des cas, contre 36 % d’attaques contre des utilisateurs de Belgique. Désormais, les victimes infectées par le ransomware seront redirigées vers le site de NoMoreRansom.org où ils obtiendront les instructions sur la manière de déchiffrer les fichiers.

L’initiativeNo More Ransom a été lancée le mois dernier dans l’espoir de mieux éduquer les consommateurs sur les dangers des ransomwares. Le projet, qui bénéficie de l’appui d’Europol, de la police néerlandaise, d’Intel Security et de Kaspersky Lab, est également devenu une destination pour les clés de déchiffrement de ransomwares autre que WildFire comme Chimera, Teslacrypt, Shade et CoinVault, une autre version qui ciblait les Pays-Bas.

Il y a presqu’un an que la brigade nationale de lutte contre les délits technologique des Pays-Bas avait sollicité l’aide des chercheurs de Kaspersky Lab, ce qui avait débouché sur l’arrestation de deux ressortissants hollandais à l’origine de la campagne CoinVault. A l’instar des auteurs de Wildfire, les individus à l’origine de CoinVault utilisaient un néerlandais parfait, ce qui indiquait clairement une connexion néerlandaise.

« La saisie des clés de chiffrement de Wildfire prouve une fois de plus que la lutte contre la cybercriminalité, et plus particulièrement contre les ransomwares, donne de meilleures résultats quand elle se déroule dans un climat de coopération » a déclaré mercredi John Fokker, directeur de la brigade nationale de lutte contre les délits technologiques. Il a également annoncé que la « police néerlandaise va s’efforcer d’aider les victimes de ransomware en menant des enquêtes, en démantelant les infrastructures criminelles et en diffusant les clés de chiffrement. »

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *