Le 7 mars 2017, un membre d’une communauté cybercriminelle a mentionné l’existence d’une nouvelle variante de ransomware appelée “Karmen”. Selon la firme de sécurité Recorded Future, un pirate russe au nom de “DevBitox” s’est chargé de faire la promotion de ce ransomware dans des forums underground, et ce durant la période mars 2017. Toutefois, les premières victimes de “Karmen” ont été signalées depuis décembre 2016 en Allemagne et aux États-Unis.
Karmen est un ransomware-as-a-service, un type d’outils dont l’usage a explosé ces derniers temps. Il permet aux pirates amateurs et inexpérimentés d’acheter et avoir accès à des outils basés sur le web pour mener leurs propres attaques par ransomware. Dans le cas de Karmen, il offre une interface facile à utiliser. Les acheteurs peuvent modifier le ransomware, voir les machines qu’ils ont infectées et voir combien ils ont gagné.
DevBitox, un des développeurs derrière Karmen, a publié des messages dans plusieurs forums informant que le ransomware-as-a-service est disponible en langue russe et anglaise. Pour le moment, le hacker a réussi à écouler 20 copies de Karmen et 5 copies restent disponibles pour d’autres acheteurs potentiels.
Interface de Karmen pour traquer les machines infectées et voir l'état des paiements
Pour se procurer Karmen, les acheteurs doivent payer 175 dollars, a dit Andrei Barysevich, directeur à Recorded Future. « Cela réduit la barrière aux autres criminels pour mener des attaques de ransomware, et permet aux acheteurs de garder la totalité des paiements qu’ils ont reçus des victimes touchées, » ajoute-t-il.
Karmen est un malware dérivé de “Hidden tear”, un projet de ransomware open source que tout le monde peut acquérir. Comme tous les autres ransomwares, Karmen se charge de chiffrer les fichiers sur les machines infectées en utilisant le puissant protocole de chiffrement AES-256, rendant au passage les fichiers inaccessibles pour l’utilisateur et envoie une note ou des instructions à la victime pour le paiement de la rançon afin d’obtenir la clé de déchiffrement de l’attaquant. Karmen est doté d’une fonctionnalité qui lui est propre, il supprime automatiquement son outil de déchiffrement si un logiciel d’analyse est détecté dans la machine de la victime.
Pour propager le ransomware, les hackers s’appuient souvent sur les emails spam avec un fichier joint ou un lien menant vers un site web qui contient le code malicieux. Une fois la machine infectée, le ransomware se charge de chiffrer les fichiers qui deviendront inaccessibles. Pour les libérer, les victimes doivent payer la rançon demandée, souvent en bitcoins.
Les cybercriminels ont exploité Hidden Tear pour créer leurs propres variantes de ransomware. Toutefois, les experts de sécurité se sont mobilisés et ont proposé des outils de déchiffrement gratuits pour libérer les fichiers infectés. No More Ransom est un site qui offre des outils gratuits pour déchiffrer les machines infectées par certains ransomwares. Les experts recommandent que les entreprises fassent des sauvegardes journalières de leurs importants systèmes, pour éviter un drame en cas d’une attaque de ransomware.
Source : Recorded Future
Et vous ?
Qu'en pensez-vous ?
Voir aussi :
Forum Sécurité