FireCrypt, ransomware doté d’une fonction DDoS

En plus de chiffrer les fichiers, le ransomwares FireCrypt tente d’organiser une attaque DDoS de faible puissance. Cette nouvelle version du polymorphe hybride a été détectée par des chercheurs de Malware Hunter Team et a été analysée par Lawrence Abrams de chez Bleeping Computer.

D’après la description reprise sur BleepingComputer.com, l’auteur de FireCrypt crée des fichiers exécutables uniques à l’aide de BleedGreen; ce qui lui permet de les dissimuler sous les traits de documents DOC ou PDF. Lorsque FireCrypt est lancé, il force l’arrêt du processus Gestionnaire de tâches et chiffre des fichiers de 20 types à l’aide d’une clé AES de 256 bits, avant d’ajouter l’extension .firecrypt. Ensuite, la victime voit le message de la demande de rançon qui s’élève à 500 USD (en bitcoins).

D’après les experts, ce message ressemble beaucoup à la demande de rançon de Deadly for a Good Purpose, découvert par l’équipe de Malware Hunter Team au mois d’octobre de l’année dernière. Les adresses email renseignées pour prendre contact avec les individus malintentionnés ainsi que le portefeuille Bitcoin permettent également d’établir un lien de parenté entre FireCrypt et ce prédécesseur. Il est possible que FireCrypt ne soit rien d’autre qu’une version de Deadly for a Good Purpose diffusée sous un nouveau nom.

La principale différence entre ce nouveau venu et les autres ransomwares est l’ajout d’une fonction DDoS. Après avoir transmis la demande de rançon, FireCrypt contacte une adresse Internet reprise dans le code et commence à charger du contenu qu’il conserve dans des fichiers temporaires. D’après Bleeping Computer, la version actuelle de FireCrypt envoie ses requêtes à pta.gov.pk, qui est l’adresse du portail officiel de l’organisme pakistanais de régulation des télécommunications. Si la victime ne remarque pas ces actions, le malware remplit rapidement le dossier %Temp% de fichiers indésirables en provenance du site en question. Les requêtes constantes adressées à ce dernier peuvent être presque considérées comme faisant partie d’une attaque DDoS de faible niveau.

Un collaborateur de Bleeping Computer précise que l’individu malintentionné devra infecté des milliers de victimes avant de pouvoir organiser une attaque DDoS puissante capable de mettre le site de cet organisme gouvernemental en difficultés. Qui plus est, toutes les infections doivent être simultanées et les ordinateurs des victimes doivent être connectés à Internet afin de pouvoir participer à l’attaque DDoS.

Lawrence Abrams estime que l’auteur de FireCrypt a ajouté la fonction de DDoS à sa création dans le cadre d’une expérience et qu’il est peu probable que cette option intéresse d’autres individus malintentionnés. Comme l’explique l’expert : « Une attaque DDoS correctement menée à l’aide d’un malware requiert une présence permanente et la discrétion. Ceci est totalement incompatible avec une campagne de ransomware réussie qui suppose des lancements et des arrêts, l’affichage d’une demande de rançon et l’attente du paiement. Seuls quelques ransomwares affichent un certain niveau de persistance dans des domaines autres que l’affichage de la demande de rançon.

La probabilité de détection de l’activité du composant DDoS par un logiciel antivirus réduit également les chances de succès de FireCrypt en tant que malware DDoS affirme Lawrence Abrams. « Le chiffrement des fichiers sur l’ordinateur oblige la victime a recherché la présence d’un malware sur son ordinateur, ce qui débouchera sur la détection du composant DDoS persistant. Je ne pense pas qu’il s’agisse ici d’une méthode viable pour organiser des attaques qui requièrent une présence permanente dans le système » explique Lawrence Abrams.

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *