Le concurrent de CryptoLocker n’était pas parfait

L’apparition du programme de chiffrement et de blocage CryptoLocker a sans aucun doute modifié les règles du jeu pour les cyber-escrocs. Si la victime ne paie pas la somme requise, elle risque désormais de perdre des fichiers importants. Les escrocs qui utilisent cet outil sérieux ont obtenu un flux de revenu stable et considérable, d’après certaines estimations. Naturellement, cette manière de gagner de l’argent est devenue populaire dans les milieux criminels, ce qui a donné naissance à une multitude d’imitations de CryptoLocker.

A la fin du mois de mai, des chercheurs de la société de sécurité informatique Bromium établie en Californie ont publié une analyse détaillée d’un des programmes de cette catégorie les plus récents qu’ils ont baptisé CryptoDefense selon la terminologie de Symantec. Symantec avait détecté cette menace pour la première fois vers la fin du mois de février et un mois plus tard, la base de la société comptait plus de 11 000 détections uniques dans 100 pays, dont plus de la moitié aux Etats-Unis. En citant Symantec, Vadim Kotov de chez Bromium indique qu’à l’heure actuelle, le nombre réel d’infections imputables à CryptoDefense a probablement augmenté. Au cours du premier mois d’observations, ce programme malveillant a rapporté près de 34 000 dollars à ses propriétaires. « A titre de comparaison, CryptoLocker a déjà « gagné » des millions. Les groupuscules criminels ont vraiment adhéré à l’idée du chantage cybernétique et nous nous attendons à l’apparition de nouvelles versions » écrit l’expert.

Les exemplaires antérieurs obtenus par Symantec étaient diffusés sous la forme de pièces jointes dans des messages non sollicités. Dans les cas enregistrés par Bromium, le programme se propageait par téléchargement à la dérobée via un code d’exploitation Java. Le programme était téléchargé par étape à l’aide d’un dropper. A la fin du téléchargement, un message indiquait à la victime qu’elle devait payer le montant indiqué dans les délais indiqués sous peine de voir la somme augmenter à l’issue de ce délai. En cas de non paiement, les individus malintentionnés menaçaient de détruire définitivement la clé indispensable au déchiffrement.

Dans le cadre de sa comparaison de CryptoLocker et de CryptoDefense, Vladimir Kotov a mis en évidence des points communs, notamment au niveau du mode de paiement (bitcoins), du chiffrement à l’aide de l’algorithme RSA-2048 et une série d’extensions uniques dans la liste des fichiers pris en otage. La version la plus récente de cet outil malveillant de blocage, à l’instar de ses prédécesseurs, recherche les documents Office, les photos et les vidéos. Il chiffre également le code source et les certificats SSL mais ignore les archives. Pour le paiement de la rançon, CryptoDefense dirige la victime vers son propre site multilingue dans le réseau anonyme Tor.

L’analyse menée par Bromium a également confirmé la présence d’une erreur irrécupérable dans la mise en œuvre de la fonction de chiffrement de CryptoDefense. Cette erreur avait déjà été mentionnée par Symantec. Grâce à ce défaut, la victime du chantage avait la possibilité de déchiffrer ses fichiers car une copie de la clé de déchiffrement était enregistrée sur l’ordinateur (bien que chiffrée). Le fait est que CryptoDefense, à l’instar de CryptoLocker, génère une paire de clés à l’aide de l’infrastructure correspondante de Microsoft et de l’API Windows. La clé privée est envoyée au serveur de commande pour être conservée, mais les auteurs de CryptoDefense ont oublié que dans le cadre de l’utilisation des outils de chiffrement de Microsoft, une copie de la clé est automatiquement enregistrée sur l’ordinateur dans un dossier défini.

D’après Rahul Kashyap, architecte principal des produits de sécurité informatique de Bromium, « il s’agit d’une erreur grave. Celui qui sait de quoi on parle comprendra que la clé privée restait sur le disque dur ». L’expert est convaincu que ce bogue sera éliminé dans les prochaines versions de l’application dès que les auteurs du programme s’en rendront compte. « Si la victime est un utilisateur de niveau avancé qui s’y connait en technologie informatique et en chiffrement, il peut obtenir la clé lui-même ». Malheureusement Rahul Kashyap avait raison : après la publication par Symantec des informations expliquant où la clé était enregistrée sur le système, les auteurs de CryptoDefense ont planché sur les erreurs et ce défaut a été éliminé dans les versions ultérieures.

Entretemps, les experts ont trouvé une manière d’identifier et de restaurer les fichiers modifiés par CryptoLocker à l’aide d’outils Windows standard : Shadow Copy et System Restore. D’après Vladimir Kotov, cette méthode ne convient pas pour CryptoDefense. « Ce programme veille à ce que les fichiers ne puissent pas être restaurés par les outils système. Il supprime le volume shadow copy et désactive le module de restauration du système » explique l’expert.

Threatpost

Bromium Labs

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *