Philippe Fourcin, Responsable Avant-Vente chez F-Secure
Les plans de monétisation des logiciels informatiques malveillants évoluent quasiment en permanence, souvent de manière fascinante et inattendue. Les actions et les réactions des attaquants et des défenseurs ne cessent de s’enchaîner : un jeu du chat et de la souris sans fin.
Le crypto-ransomware, une forme de logiciel malveillant qui cible les fichiers de données, les chiffre et propose les clés de déchiffrement contre une rançon, fait la une de la presse. Pourquoi ? Quelles tendances du marché poussent les criminels à extorquer de l’argent directement aux victimes au lieu de détourner discrètement des fonds de comptes bancaires ?
Les grandes banques ont pour la plupart mis en place des défenses robustes reposant sur des algorithmes anti-fraudes pour se protéger contre les transactions inhabituelles. Après des années de lutte contre les chevaux de Troie bancaires, les algorithmes sont devenus hypersensibles aux attaques contre les comptes clients. Ces types d’attaque masquée ne sont plus désormais perpétrés que par des criminels expérimentés qui se concentrent sur les PME.
En outre, la réussite d’une attaque par cheval de Troie bancaire exige du temps et de la discrétion. Les versions actuelles de Windows sont de moins en moins vulnérables aux menaces persistantes discrètes des logiciels malveillants. Il y a quelques années, un cheval de Troie bancaire pouvait se cacher et patienter plusieurs mois avant l’ouverture d’une session bancaire. Aujourd’hui, les nombreuses mises à jour de sécurité automatiques limitent la durée pendant laquelle les menaces peuvent rester cachées. Les attaquants sont ainsi forcés de privilégier la monétisation directe.
« 2016 devrait être une excellente année pour les extorqueurs. »
Le ransomware ne tente pas de se cacher quand il a trouvé une victime. Au contraire, il se montre et déclenche l’alerte. Avant la création du crypto-ransomware, la plupart des criminels privilégiaient le ransomware « policier » qui pirate les navigateurs et affiche des messages déclarant que des images pédophiles et zoophiles ont été découvertes sur les systèmes compromis. L’effet paralysant est tel qu’une grande partie des victimes décide de payer.
Pour l’extorqueur potentiel, le plus grand défi consistait à communiquer avec « le client ». Par le passé, il était incroyablement compliqué d’expliquer aux victimes comment payer une rançon sans prendre le risque d’être retrouvé par les autorités. De nombreux escrocs ont eu recours à la méthode du numéro de téléphone à tarif majoré, espérant réaliser un joli profit avant d’être découverts et de fermer la ligne.
La production d’une clé de déchiffrement
Le crypto-ransomware est différent. Dans la plupart des exemples étudiés, le paiement de la rançon a conduit à la production d’une clé de déchiffrement. Deux technologies clés ont rendu cela possible : les services cachés Tor et Bitcoin.
Les services cachés Tor remédient aux problèmes de « service client » qui surviennent lorsque les victimes ne comprennent ni le chiffrement, ni le processus d’extorsion. Certaines variantes fournissent des liens vers des services proxy Tor évitant aux victimes d’avoir à installer un navigateur Tor. Étonnamment, et paradoxalement, les variantes du crypto-ransomware comme CryptoWall offrent un très bon service client -un mauvais service aurait des conséquences négatives sur le plan- : les extorqueurs mettent à disposition des didacticiels, des questions/réponses et des formulaires d’aide (avec généralement une réponse le jour même !). Des négociations avaient parfois lieu. Les extorqueurs baissent ainsi le prix de la rançon pour les personnes apportant la preuve qu’elles ne peuvent pas payer le prix demandé (généralement environ 500 dollars).
Le paiement est effectué via Bitcoin et, même s’il n’est pas totalement anonyme, il n’est pas aussi facilement traçable que les autres paiements en ligne utilisés par le passé. Les services cachés de CryptoWall fournissent des liens facilement accessibles vers des fournisseurs Bitcoin. 2016 devrait être une excellente année pour les extorqueurs utilisant des crypto-ransomware. La seule chose qui pourrait éventuellement freiner ce succès pour le moment est la crise actuelle au sein de la communauté Bitcoin. Une chute du prix du Bitcoin ralentirait en effet la progression du plan… du moins jusqu’au couronnement du successeur du Bitcoin ! n
Visitez f-secure.fr/business
et notre blog ‘Visions et Sécurité IT’ fr.business.f-secure.com
