Infos

FireCrypt, ransomware doté d’une fonction DDoS

En plus de chiffrer les fichiers, le ransomwares FireCrypt tente d’organiser une attaque DDoS de faible puissance. Cette nouvelle version du polymorphe hybride a été détectée par des chercheurs de Malware Hunter Team et a été analysée par Lawrence Abrams de chez Bleeping Computer.

D’après la description reprise sur BleepingComputer.com, l’auteur de FireCrypt crée des fichiers exécutables uniques à l’aide de BleedGreen; ce qui lui permet de les dissimuler sous les traits de documents DOC ou PDF. Lorsque FireCrypt est lancé, il force l’arrêt du processus Gestionnaire de tâches et chiffre des fichiers de 20 types à l’aide d’une clé AES de 256 bits, avant d’ajouter l’extension .firecrypt. Ensuite, la victime voit le message de la demande de rançon qui s’élève à 500 USD (en bitcoins).

D’après les experts, ce message ressemble beaucoup à la demande de rançon de Deadly for a Good Purpose, découvert par l’équipe de Malware Hunter Team au mois d’octobre de l’année dernière. Les adresses email renseignées pour prendre contact avec les individus malintentionnés ainsi que le portefeuille Bitcoin permettent également d’établir un lien de parenté entre FireCrypt et ce prédécesseur. Il est possible que FireCrypt ne soit rien d’autre qu’une version de Deadly for a Good Purpose diffusée sous un nouveau nom.

La principale différence entre ce nouveau venu et les autres ransomwares est l’ajout d’une fonction DDoS. Après avoir transmis la demande de rançon, FireCrypt contacte une adresse Internet reprise dans le code et commence à charger du contenu qu’il conserve dans des fichiers temporaires. D’après Bleeping Computer, la version actuelle de FireCrypt envoie ses requêtes à pta.gov.pk, qui est l’adresse du portail officiel de l’organisme pakistanais de régulation des télécommunications. Si la victime ne remarque pas ces actions, le malware remplit rapidement le dossier %Temp% de fichiers indésirables en provenance du site en question. Les requêtes constantes adressées à ce dernier peuvent être presque considérées comme faisant partie d’une attaque DDoS de faible niveau.

Un collaborateur de Bleeping Computer précise que l’individu malintentionné devra infecté des milliers de victimes avant de pouvoir organiser une attaque DDoS puissante capable de mettre le site de cet organisme gouvernemental en difficultés. Qui plus est, toutes les infections doivent être simultanées et les ordinateurs des victimes doivent être connectés à Internet afin de pouvoir participer à l’attaque DDoS.

Lawrence Abrams estime que l’auteur de FireCrypt a ajouté la fonction de DDoS à sa création dans le cadre d’une expérience et qu’il est peu probable que cette option intéresse d’autres individus malintentionnés. Comme l’explique l’expert : « Une attaque DDoS correctement menée à l’aide d’un malware requiert une présence permanente et la discrétion. Ceci est totalement incompatible avec une campagne de ransomware réussie qui suppose des lancements et des arrêts, l’affichage d’une demande de rançon et l’attente du paiement. Seuls quelques ransomwares affichent un certain niveau de persistance dans des domaines autres que l’affichage de la demande de rançon.

La probabilité de détection de l’activité du composant DDoS par un logiciel antivirus réduit également les chances de succès de FireCrypt en tant que malware DDoS affirme Lawrence Abrams. « Le chiffrement des fichiers sur l’ordinateur oblige la victime a recherché la présence d’un malware sur son ordinateur, ce qui débouchera sur la détection du composant DDoS persistant. Je ne pense pas qu’il s’agisse ici d’une méthode viable pour organiser des attaques qui requièrent une présence permanente dans le système » explique Lawrence Abrams.

Fonte: Threatpost

FireCrypt, ransomware doté d’une fonction DDoS

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception