stickerside - stock.adobe.com
Ukraine : interpellation d’un complice de LockBit et Conti
La police ukrainienne a récemment arrêté le développeur d’un outil de maquillage de logiciels malveillants, qui avait notamment été utilisé (moyennant finances) dans le cadre d’attaques impliquant l’enseigne LockBit et le groupe Conti.
Il développait un maliciel spécialisé dans le maquillage d’autres maliciels, pour les faire passer au travers des antivirus et outres outils de détection, un packer, ou un cryptor. Âgé de 28 ans et natif de la région de Kharkiv, il a été identifié et interpellé à Kiev, en Ukraine.
« La police a découvert que le jeune homme s’était spécialisé dans le développement de cryptors (de l’anglais crypt), des logiciels spéciaux permettant de masquer des virus informatiques sous l’apparence de fichiers sécurisés. Grâce à ses compétences en programmation, l’accusé a pu dissimuler des logiciels malveillants aux antivirus les plus répandus », explique la police ukrainienne.
Ces services ont notamment été appréciés par le groupe Conti : « fin 2021, des membres du groupe ont infecté les réseaux informatiques de l’entreprise aux Pays-Bas et en Belgique avec des logiciels malveillants cachés ». Mais ce n’est pas tout : l’enquête a montré qu’il avait également œuvré avec LockBit.
En 2021, dans un échange avec la rédaction, Benoît Grunemwald, expert cybersécurité chez Eset, rappelait que de nombreuses méthodes de maquillage sont en fait mises à profit pour leurrer les antivirus : « les menaces utilisent énormément de packers, chiffrement et autres méthodes d’offuscation ».
Le problème n’est ni inconnu ni fondamentalement nouveau. À la même époque, Chet Wizniewski, directeur de recherche scientifique chez Sophos, soulignait que « nous sommes confrontés aux “packers” depuis près de 30 ans. Les premiers programmes antivirus de base reposaient sur la détection d’une signature, c’est-à-dire qu’ils recherchaient une séquence spécifique d’octets qui leur permettait d’identifier le code malveillant. Toutefois, ce fonctionnement a cessé dans les années 1990 lorsque l’offuscation et l’empaquetage sont apparus ».
Les éditeurs n’ignorent pas ces méthodes et multiplient les ruses pour détecter malgré tout les menaces, avant qu’elles ne fassent des dégâts, dans un jeu continu du chat et de la souris.