lolloj - Fotolia
Rançongiciels : la course à la sophistication s’accélère
En l’espace de deux jours, Teslacrypt a dévoilé ses versions 3.0.1 et… 4.0 ! A la clé, un chiffrement considérablement plus robuste et l’enrôlement de la machine compromise au sein d’bu botnet.
Il est plus que tentant d’y voir un signe de leur effectivité : qui s’investirait dans l’évolution rapide d’un logiciel si celle-ci ne s’avérait pas payante ? Et justement, les auteurs du rançongiciel TeslaCrypt semblent bien déterminés à faire progresser régulièrement et rapidement leur logiciel malveillant.
De fait, comme le relève Heimdal dans un billet de blog, ce ransomware est apparu il y a tout juste un an. Sa seconde mouture date de novembre dernier. La troisième itération de TeslaCrypt remonte au mois de janvier. La division Talos de Cisco vient de se pencher sur sa version 3.01… et la version 4.0 vient tout juste de sortir.
Dans leur billet, les équipes de Talos soulignent la principale évolution de TeslaCrypt 3.01 : un nouvel algorithme de chiffrement qui rend obsolètes tous les outils qui permettaient de déchiffrer, sans payer de rançon, les données prises en otage par les précédentes versions du rançongiciel. Car celles-ci souffraient d’une « faiblesse dans leur manière de stocker la clé de chiffrement ».
Et de résumer : « TeslaCrypt 3 est l’un des systèmes de ransomware les plus avancés du moment […] La clé privée n’a jamais besoin de quitter les serveurs de commande et de contrôle et le rançongiciel utilise une clé différente pour chaque victime […] Nous ne le dirons jamais assez, ni assez fort, mais le ransomware est devenu la peste noir d’Internet ».
Comme le relevait McAfee début janvier, TeslaCrypt se propage actuellement très largement via des pourriels, en s’appuyant sur le code JavaScript malicieux Nemucod. Mais Heimdal explique que la toute dernière itération du rançongiciel s’appuie l’algorithme RSA assorti de clés sur 4096 bits pour chiffrer les données : « en conséquence, les données chiffrées seront impossibles à recouvrer, ce qui peut conduire à une perte de données si la victime n’a pas réalisé de sauvegarde des données affectées ». Accessoirement, TeslaCrypt 4.0 « enrôle le PC affecté dans un botnet ».
Pour Heimdal, il faut s’attendre à ce que les attaquants accélèrent l’évolution de leurs rançongiciels « afin de bloquer les outils de déchiffrement susceptibles d’apparaître sur le marché et sécuriser un flux de revenus constant pour financer leurs attaques ».