Détection d’un nouveau malware RaaS bon marché

Des chercheurs de chez Recorded Future ont découvert une nouvelle version du ransomware Karmen, diffusé selon le mode RaaS. Le monde de la cybercriminalité est désormais accessible au plus novice des utilisateurs qui doit simplement créer un compte et configurer la campagne d’escroquerie conformément à ses besoins.

Le ransomware Karmen coûte 175 dollars américains et permet aux individus malintentionnés de définir le montant de la rançon, le délai de paiement et une multitude de canaux de communications entre la victime et les auteurs de la campagne. L’infrastructure RaaS propose également un tableau de bord qui permet de suivre le nombre de clients et le montant des gains.

Comme l’indique Recorded Future : « Karmen est vendu en tant que version distincte d’un ransomware ; le client paie une seule fois pour son utilisation et l’organisateur de la campagne ne doit pas verser de commission au fournisseur Raas : il conserve la totalité des revenus. » Le ransomware est proposé en version complète et allégée. La version allégée n’est pas dotée de la fonction d’identification de bac à sable, ce qui explique sa taille beaucoup plus petite.

Recorded Future a détecté Karmen pour la première fois le 4 mars ; il était proposé sous la formule RaaS sur un forum de pirates clandestin par un cybercriminel russophone répondant au pseudonyme DevBitox ou Dereck1. Diana Granger et Andrey Barysevitch, experts de chez Recorded Future, l’ont expliqué dans le rapport sur l’étude du malware.

On ne sait pratiquement rien de DevBitox, si ce n’est que jusqu’à présent, il s’était dédié à la recherche active de clients pour ses services de piratage. Tout semble indiquer que Karmen est le premier projet commercial du pirate.

Karmen repose sur un projet de ransomware libre baptisé Hidden Tear dont le code avait été divulgué en août 2015 par le chercheur turc Utku Sen dans un but éducatif. Depuis lors, de nombreuses versions de ce malware ont vu le jour.

Les premiers cas d’infection imputables à Karmen ont été enregistrés en décembre 2016 : les victimes se trouvaient en Allemagne et aux Etats-Unis. Karmen chiffre les fichiers sur les ordinateurs infectés à l’aide de d’un algorithme AES-256.

Karmen (ou Hidden Tear) peut être supprimé de l’ordinateur à l’aide d’un utilitaire gratuit proposé sur le site NoMoreRansom.org. Toutefois, d’après les chercheurs, « il est actuellement impossible de déchiffrer les fichiers déjà chiffrés sans payer la rançon ».

Karmen possède plusieurs traits distinctifs ; par exemple, une des fonctions permet de supprimer automatiquement le module de déchiffrement si l’ordinateur de la victime est doté d’un bac à sable ou d’une application d’analyse. D’après les informations obtenues dans le Dark Web, il existe 20 copies de Karmen et elles sont toutes vendues par le pirate DevBitox ; seules cinq d’entre elles sont disponibles actuellement à la vente.

« Pour garantir un niveau de service et d’assistance adéquat, il n’est pas rare que les développeurs limitent le nombre de copies vendues aux clients » estiment les chercheurs.

A l’heure actuelle, nous ne savons rien au niveau du mode de propagation du malware, ni au niveau du nombre de victimes.

Source : Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *