lolloj - Fotolia
Rançongiciels : une menace loin d’être passée
Apparu en avril, CryptXXX vient de se doter de nouvelles fonctions affectant les partages réseau. Parallèlement, les domaines liés au contrôle des ransomwares se multiplient.
La course à la sophistication en matière de rançongiciels semble loin d’être achevée. Les chercheurs de ProofPoint viennent ainsi de disséquer la version 3.1 de CryptXXX, un nouveau logiciel malveillant de ce type observé pour la première fois courant avril. Il avait déjà été mis à jour mi-mai. L’occasion pour ses auteurs de répondre, au moins temporairement à Kaspersky qui avait rendu public un outil de chiffrement pour ce ransomware, fin avril. L’éditeur avait alors fait évoluer son logiciel. Mais il semble qu’il doive à nouveau remettre son ouvrage sur le métier.
La nouvelle mise à jour de CryptXXX rend en effet inopérant l’outil de chiffrement de Kaspersky. Et elle étend en parallèle le périmètre attaqué. Dans un billet de blog, les chercheurs de ProofPoint expliquent ainsi que cette nouvelle mouture recherche des partages de fichiers sur le réseau, utilisant le protocole SMB, pour mieux verrouiller leur contenu, en plus des fichiers présents localement sur la machine compromise.
Et CryptXXX va plus loin : il vise également des identifiants, avec un éventail assez large. Ceux associés à un client VPN Cisco sont ainsi concernés, au même titre que ceux stockés par Chrome, ou encore ceux de comptes de messagerie. Là, les données sont transmises aux opérateurs du rançongiciel. De quoi augmenter le potentiel de rentabilité pour eux.
Dans leur billet, les chercheurs de ProofPoint soulignent que CryptXXX apparaît de plus en plus répandu, « notamment en raison de nombreux acteurs TeslaCrypt migrant leurs activités ». Et c’est bien compréhensible, les créateurs de ce dernier ayant récemment fermé boutique en laissant la clé sous paillasson.
Selon Infoblox, le nombre de domaines associés aux activités d’opérateurs de rançongiciels a été multiplié par rien moins que 35 entre le premier trimestre de l’année et le dernier trimestre 2015. Pour Rod Rasmussen, vice-président d’Inflobox en charge de la cybersécurité, « la menace liée aux ransomwares a connu une évolution sismique, passant de quelques acteurs lançant des opérations à quelques dollars visant les consommateurs, à des attaques à l’échelle industrielle, portant sur des montants importants, et visant les organisations de toutes natures et de toutes tailles, jusqu’aux grandes entreprises ».
Selon le FBI, les rançongiciels auraient représenté un coût de 209 M$ aux Etats-Unis au premier trimestre 2016, contre 24 M$ pour l’ensemble de l’année 2015.