Mise à jour de CryptXXX : le potentiel de revenus augmente

Le ransomware CryptXXX a bénéficié d’une mise à jour importante qui en fait le ransomware le plus rentable actuellement en circulation. Jusqu’à présent le projet criminel qui était considéré comme la plus grande réussite en la matière était Locky.

Les chercheurs de Proofpoint ont enregistré la mise en circulation de la version 3.100 du ransomware le 26 mai ; d’après leur témoignage, CryptXXX s’est enrichi du module Stiller X qui permet de voler les identifiants de différentes applications, depuis les clients de casino en ligne jusqu’à Cisco VPN.

Dans un entretien accordé à Threatpost, Kevin Esptein, Vice-président de Proofpoint chargé du centre de réaction aux menaces Internet, a signalé que « le petit nouveau ressemble tout à fait à CryptXXX. Etant donné que TelsaCrypt est désormais hors jeu, il semblerait que Locky se trouve face à un adversaire de taille en matière de nombre d’infections et d’agressivité de la propagation.

D’après Kevin Epstein, la nouvelle version de CryptXXX est propagée par le groupe antérieur qui utilise depuis longtemps et avec succès le kit d’exploitation Angler. L’expert nous met en garde : « Il faut s’attendre à ce que le rayon d’action de CryptXXX augmente sensiblement Au bas mot, ils sont en mesure de garantir 50 000 infections de CryptXXX par période de 24 heures et les revenus quotidiens du ransomware sont compris entre 100 0000 et 200 000 dollars

CryptXXX se distingue de Locky au niveau de la méthode de propagation : ce dernier est souvent distribué via des campagnes de spam organisées à l’aides des botnets de Dridex. Les opérateurs de CryptXXX, de leur côté, préfèrent rediriger les victimes vers une page contenant des codes d’exploitation.

CryptXXX 3.100 recherche les fichiers cible non seulement sur les disques locaux et amovibles, mais il balaie également le port de passerelle 445 (utilisé pour les connexions client-serveur dans les réseaux locaux via le protocole SMB) afin de rechercher les « ressources partagées » dans le réseau, énumérer les fichiers dans chaque répertoire, puis les chiffre un à un » comme on peut le lire dans un billet du blog sur le site de Proofpoint

La sortie de la version 3.100 s’accompagne également d’une refonte du portail utilisé par les individus malintentionnés pour gérer les paiements. Ces modifications ont touché principalement l’interface utilisateur graphique et les fonctions liées au blocage de l’écran. « CryptXXX se distingue par des cycles de développement très rapide » souligne Kevin Epstein.

Ce ransomware est apparu pour la première fois sur les radars de Proofpoint le 15 avril ; à ce moment, il affichait une croissance soutenue. Cette expansion s’est ralentie après l’apparition de l’outil de déchiffrement ajouté par Kaspersky Lab le 26 avril à son utilitaire RannohDecryptor.

A en croire la description de RannohDecryptor sur le site du Support Technique de la société de sécurité de l’information, cet utilitaire est efficace contre les deux premières versions de CryptXXX. S’agissant de la troisième, il la reconnaît, mais il n’est pas en mesure de récupérer les fichiers. Autrement dit, cet outil n’est pas utile pour les cas d’infection impliquant CryptXXX 3.100.

Ce ransomware est dangereux non seulement parce qu’il chiffre les fichiers (il ajoute l’extension .crypt), mais également parce qu’il les copie, ce qui augmente le risque de vol d’identité. De plus, CryptXXX est capable de voler les bitcoins stockés sur le disque local.

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *