Même si vous payez la rançon, ce rançongiciel boiteux ne sauvera pas vos fichiers chiffrés

La rentrée très agressive des cybercriminels de Lockbit


Les victimes de rançongiciels sont régulièrement invitées à ne pas payer la rançon demandée par les cyberattaquants. C’est d’autant plus vrai dans le cas de ce nouveau rançongiciel, Cryptonite. Pourquoi ? Tout simplement parce que le logiciel malveillant n’est pas capable de déchiffrer les fichiers.

Codé dans le langage Python, ce rançongiciel est apparu pour la première fois en octobre, dans le cadre d’une boîte à outils malveillante open source. Ce qui permet à toute personne possédant les compétences requises de le déployer sur des systèmes Microsoft Windows, les attaques par hameçonnage étant considérées comme le mode de diffusion le plus courant.

Mais l’analyse de Cryptonite par les chercheurs en cybersécurité de Fortinet révèle que le ransomware n’offre aucun moyen de déchiffrer les fichiers, même en cas de paiement d’une rançon.

Cryptonite agit comme un wiper

Au contraire, Cryptonite agit comme un wiper, ces malwares destructeurs qui cherchent à effacer les données en détruisant les fichiers chiffrés sans permettre la récupération de données. Plutôt qu’une stratégie de destruction intentionnelle, les chercheurs suggèrent néanmoins que ce comportement est dû à un problème de conception du logiciel.

Un défaut dans la programmation empêche de récupérer les fichiers chiffrés si le rançongiciel plante ou est simplement fermé. De même, il n’est pas possible de l’exécuter pour seulement déchiffrer des fichiers, le rançongiciel rechiffrant alors les fichiers dans le même temps avec une clé différente.

« Cet exemple démontre comment des faiblesses dans la programmation d’un rançongiciel peuvent rapidement le transformer en un wiper », note Gergely Révay, chercheur en sécurité au FortiGuard Labs de Fortinet. « Même si nous nous plaignions souvent de la sophistication croissante des rançongiciels, nous pouvons également constater que leur trop grande simplicité et un manque d’assurance qualité peuvent aussi entraîner des problèmes importants. »

Le déchiffrement des fichiers n’est jamais garanti

Le cas du rançongiciel Cryptonite rappelle enfin que le paiement d’une rançon ne garantit jamais que les cybercriminels fourniront bien la clé de déchiffrement ni qu’elle fonctionnera correctement.

Les différentes agences, dont l’Anssi française et ses homologues américaines ou anglaises (la CISA, le FBI et le NCSC) recommandent de ne pas payer de rançon. Selon eux, cela ne fait qu’enhardir et encourager les cybercriminels, surtout s’ils peuvent acquérir le ransomware à bas prix ou gratuitement.

Par contre, la bonne nouvelle est qu’il est désormais plus difficile pour les cybercriminels en herbe de mettre la main sur Cryptonite, le code source original ayant été retiré du dépôt GitHub. En outre, le caractère basique de ce rançongiciel signifie également qu’il est facile à détecter par les antivirus. Il est donc recommandé d’installer un logiciel de ce type et de le maintenir à jour.

Source : ZDNet.com





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.