Spora, un ransomware orienté client

Au début de cette année, des chercheurs ont identifié le nouveau ransomware Spora qui, à l’origine, attaquait uniquement des utilisateurs russophones avant de commencer à se propager dans d’autres pays. Dès le début, ce malware s’est distingué par le portail d’excellente qualité mis en œuvre pour payer la rançon. Désormais, les auteurs de Spora se présentent comme un des groupes d’organisation de campagnes d’escroquerie les plus développés et les plus « professionnels » : ils investissent dans une infrastructure d’assistance de pointe et n’hésite pas à organiser des campagnes de relation publique afin de renforcer leur réputation de malware qui se « soucie le plus de ses clients ».

Une des caractéristiques uniques de Spora est la fenêtre de chat du service à la clientèle qui permet aux victimes de communiquer avec les escrocs. Les chercheurs ont eu la possibilité d’accéder aux pages de certaines victimes et de suivre les conversations avec les cybercriminels.

L’assistance technique est offerte en anglais ou en russe. Les opérateurs dominent les techniques de communication. Ils évitent de renforcer le caractère critique de la situation dans les échanges avec les « clients » en colère et offrent des réponses de qualité et rapides aux questions formulées.

Les chercheurs ont également été marqués par la loyauté des escrocs vis-à-vis des victimes. Ils sont disposés à repousser, voire à supprimer, la date limite de paiement de la rançon pour les victimes qui laissent des commentaires positifs sur le travail des opérateurs de la campagne sur le forum de Bleeping Computer (à l’heure actuelle, personne n’a profité de cette « générosité »). Les opérateurs proposent également des « remises » et le déchiffrement gratuit de fichiers particulièrement importants.

Les commentaires positifs constituent une stratégie marketing sage qui exploite la notion de confiance des « clients ». Selon toute vraisemblance, ces commentaires peuvent convaincre d’autres victimes de la certitude de récupérer leurs fichiers chiffrés si elles acceptent de payer la rançon. Il existe de nombreux cas où les victimes n’ont jamais récupérer leurs fichiers, même après avoir payé la rançon. Cela nuit à la réputation même du concept d’attaques par ransomware car pour qu’une campagne réussisse, les victimes doivent être convaincues que le paiement de la rançon sera la solution.

Les opérateurs de Spora offrent également un service complémentaire aux victimes : celles-ci peuvent acheter séparément un « vaccin » contre des infections ultérieures. Le téléchargeur de cette option crée un fichier portant le même nom que lors de la première infection de Spora. En cas de nouvelle infection, Spora détecte cet identifiant et ne s’installe pas sur l’ordinateur.

MalwareHunter a également signalé un cas où les développeurs de Spora ont proposé une remise de 10 % sur le déchiffrement des fichiers d’une entreprise dont plus de 200 dispositifs avaient été infectés par le malware. D’après les propos des chercheurs, le service à la clientèle de Spora est mieux organisé que celui de nombreuses entreprises du secteur des technologies de l’information.

Le nombre d’infections via Spora augmente ; bien que l’ampleur de la diffusion n’a pas encore atteint les niveaux des ransomwares archiconnus Cerber et Locky, Spora est bien placé pour connaître un succès identique. L’outil de déchiffrement pour Spora n’a pas encore été mis au point.

Source : Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *