Les chercheurs en sécurité de Kaspersky Lab viennent d'annoncer l'existence d'une nouvelle famille de ransomwares écrits en C, compilés en MS Visual Studio et baptisée PetrWrap. Selon les chercheurs, la particularité de cette dernière résulte du fait qu'il exploite le module de base du célèbre malware Petya afin de pouvoir lancer des attaques à l'endroit des entreprises. Les chercheurs ajoutent que le nouveau type de ransomwares en l'occurrence PetrWap est distribué à partir d'une plateforme RaaS (Ransomware as a Service) que ses auteurs n'utilisent pas pour commettre leur forfait. En effet, en lieu et place de la plateforme RaaS, les cybercriminels qui en sont à l'origine ont mis en place un module spécial qui est en mesure de modifier la version originale du ransomware Petya « à la volée ». En d'autres termes, PetrWrap implémente ses propres routines cryptographiques et modifie le code de Petya pour contrôler son exécution ; cela permet ainsi aux cybercriminels derrière PetrWrap d'utiliser le Petya sans être détectés. Ainsi, les auteurs du ransomware Petya font face à une utilisation non autorisée du malware qu'ils ont eux-mêmes conçu.Pour une meilleure compréhension, l'éditeur Global Security Mag a tenu à nous faire une petite présentation du ransomware Petya sur lequel se base le nouveau ransomware PetrWap pour lancer ces attaques ciblées. « En mai 2016, Kaspersky Lab avait découvert le ransomware Petya, qui non seulement chiffre les données stockées sur un ordinateur, mais écrase aussi le secteur d’amorce (MBR) du disque dur, ce qui empêche le démarrage du système d’exploitation sur les machines infectées. Ce malware est un modèle de RaaS (Ransomware as a Service), c’est-à-dire que ses créateurs proposent leur produit malveillant " à la demande ", afin de le propager via de multiples distributeurs en s’octroyant un pourcentage des profits au passage. Pour s’assurer de recevoir leur part du butin, les auteurs de Petya ont inséré certains " mécanismes de protection " dans leur malware de façon à prévenir un usage non autorisé de ses échantillons. »
D'après les informations fournies par les chercheurs en sécurité de Kaspersky Lab, les créateurs du ransomware PetrWrap ont réussi à contourner l'ensemble des mesures de protection mises en place autour de Petya et permettant de prévenir son utilisation non autorisée, tout cela sans verser la moindre redevance aux cybercriminels qui en sont les auteurs. Il ressort également des informations collectées que les activités relatives au nouveau type de ransomware PetrWrap ont été mises en évidence pour la première fois en ce début d'année 2017.
Global Security, dans son analyse, affirme que « le mode de diffusion de PetrWrap n'est pas tellement clair. Après infection, le ransomware PetrWrap déclenche l'exécution de Petya afin de chiffrer les données de sa victime, puis exige une rançon. Ses auteurs emploient leurs propres clés de chiffrement privées et publiques en lieu et place de celles fournies avec les versions « standard » de Petya. Cela leur permet d’exploiter le ransomware sans avoir besoin de la clé privée d’origine pour décrypter la machine de la victime, dans le cas où cette dernière paie la rançon. »
Les chercheurs en sécurité de Kaspersky, à leur tour, nous font un résumé technique de la situation en présentant les objectifs visés par le ransomware PetrWrap. Ces derniers se présentent comme suit :
- PetrWrap permet de verrouiller la machine de la victime, cela tout en assurant un fort chiffrement du MFT (Master File Table) des partitions NTFS (New Technology File System) ;
- PetrWrap permet de rendre plus difficile l'évaluation de la situation afin de déterminer l'étendue des dommages causés, cela parce que lorsque l'écran est verrouillé, l'alerte relative au crâne clignotant n'apparaît pas. L'écran n'affiche pas également d'informations relatives à Petya ;
- les développeurs de PetrWrap n'auront pas besoin d'écrire le code du bootloader, au risque de faire des erreurs similaires à celles observées dans les versions antérieures de Petya. À titre d'information, un bootloader ou chargeur d'amorçage est un logiciel permettant de lancer un ou plusieurs systèmes d'exploitation (multi-boot), c'est-à-dire qu'il permet d'utiliser plusieurs systèmes, à des moments différents, sur la même machine.
Les experts en sécurité affirment que le ransomware PetrWrap utilise un algorithme de chiffrement très redoutable, ce qui signifie que l'utilisation d'un outil pour le déchiffrement est hors de question. Cependant, ils invitent les victimes à tenter de restaurer des fichiers en se servant des outils tiers à l'instar de R-Studio. « Pour se protéger contre de telles attaques, les entreprises ont besoin de garder leurs logiciels à jour, doivent utiliser des mots de passe sécurisés notamment pour les systèmes d'accès à distance, doivent installer des solutions de sécurité sur leurs serveurs et dotées de technologies de détection comportementale », a déclaré l'équipe des chercheurs en sécurité.
Par ailleurs, Global Security Mag estime que cette guéguerre entre les cybercriminels pourrait être le signe d'une accentuation de la concurrence sur le marché des ransomwares. Il ajoute que « c'est une bonne nouvelle, car le temps que les cybercriminels passent à se combattre et à s’escroquer les uns les autres est un temps qui n’est pas mis au service de leurs campagnes malveillantes. »
Source : Kaspersky Lab - Global Security Mag
Et vous ?
Que pensez-vous de cette nouvelle famille de malwares ? Pensez-vous que cela traduit une concurrence entre les auteurs de ransomwares ?