L’année qui vient de s’écouler dépasse probablement les attentes après l’identification, en janvier, de nouvelles souches de malwares intitulées Popcorn Time et Spora. Désormais, une nouvelle souche a dévoilé sa présence sombre et porte bien son nom, Satan.
Satan est la dernière menace malveillante dévoilée sous la forme de Ransomware as a Service ou RaaS. La prémisse derrière RaaS est similaire à la plupart des offres de Software as a Service dans la mesure où une nouvelle variante de ransomware est créée et ensuite commercialisée via des canaux de distribution pour que les clients puissent l’acheter. Les pirates informatiques ayant peu de connaissances ou de compétences ainsi que les gens ordinaires avec peu ou pas de scrupules peuvent s’abonner à RaaS et essentiellement démarrer une entreprise d’extorsion clé en main. Ils peuvent ensuite distribuer des malwares aux victimes potentielles dans l’espoir d’en tirer profit. Chaque fois qu’une victime paie une rançon, l’abonné et le créateur de la rançon se partagent la prise.
Comment fonctionne le ransomware Satan ?
Le virus Satan est accessible via son site web dédié sur Tor, un réseau informatique superposé mondial et décentralisé.
Contrairement aux formes antérieures de RaaS qui facturent des frais initiaux, allant de 39 à 400 $, Satan est gratuit. Le site affiche bien en évidence l’explication suivante :
- Satan est libre. Il vous suffit de vous inscrire sur le site.
- Satan est très facile à déployer. Vous pouvez créer votre ransomware en moins d’une minute.
- Satan utilise Tor et l’anonymat Bitcoin.
- L’exécutable de Satan n’est que de 170 kb.
En plus du logiciel de ransomware, les créateurs offrent un certain nombre de fonctions supplémentaires, y compris les relevés de paiement des frais et le suivi des transactions afin que les abonnés puissent voir combien d’instances ont été fructueuses, ainsi que le montant de leurs paiements.
Afin d’aider les vrais amateurs, Satan propose des tutoriels faciles à suivre pour aider les abonnés à créer des compte-gouttes qui servent de mécanisme de diffusion des malwares par le biais d’un spam ou d’un téléchargement par drive-by. L’interface Satan comprend même une zone dans laquelle les abonnés peuvent traduire leur ransomware dans différentes langues afin de communiquer avec leurs victimes pour mieux les guider dans le processus de paiement.
Comme pour la plupart des versions récentes de ransomwares, il existe un portail de service à la clientèle qui permet aux abonnés d’émettre des demandes de service. Une fois inscrits, les abonnés se voient offrir une clé publique pour l’authentification à deux facteurs et sont tenus de connecter un portefeuille bitcoin à leur compte afin de recevoir leur part des paiements en cas d’obtention d’une rançon.
Pour tout cela, les créateurs de Satan ne prennent qu’une commission de 30 %, et ce taux peut être négocié une fois qu’un abonné atteint un volume élevé de transactions réussies. A noter que la rançon recommandée est actuellement de un bitcoin.
La prolifération des ransomwares
Les attaques de Satan et d’autres RaaS augmentent la prolifération des ransomwares, car un plus grand nombre de pirates, avertis ou non, participent à cette activité criminelle rentable.
En raison de la simplicité de la souscription et de la mise en œuvre du plan d’affaires de Satan, cette nouvelle version va certainement assombrir l’année à venir.
Autres nouvelles variantes de Ransomware
Les créateurs de ransomwares continuent d’intégrer les innovations dans leurs produits néfastes. Les dernières fonctionnalités incluent :
- Fileless ransomware : Cette variante ne nécessite aucun téléchargement de fichier dédié pour implémenter le processus d’infection. Au lieu de cela, le code malveillant est soit intégré dans un langage de script natif, soit écrit directement en mémoire à l’aide d’outils administratifs légitimes tels que PowerShell, selon les experts en cybersécurité. Ainsi, rien ne doit être écrit sur le disque, ce qui signifie que les antivirus basés sur des signatures ne peuvent pas détecter leur présence.
- De nouvelles variantes ciblent maintenant les Snapshots de copie D’ombre de Volume (VSS) et les suppriment, rendant impossible toute tentative de restauration à partir de fichiers de sauvegarde.
- Fin janvier, une école d’infirmières de Californie a été victime d’une attaque de ransomware via une clé USB. Non seulement les fichiers locaux de la machine infectée ont été chiffrés, mais le malware était également capable d’attaquer le compte Google Drive de la victime puisque le service de synchronisation Google était exécuté sur l’appareil infecté. Comme il s’agissait de la seule solution de secours de la victime, tous les fichiers ont été perdus depuis que l’école a décidé de ne pas payer la rançon. La bonne nouvelle, c’est que l’infection était limitée à un seul appareil, car il était rapidement déconnecté du réseau dès sa découverte.
- Dans la plupart des cas, les attaquants par ransomware ont limité leur cible au système d’exploitation Windows. Pourtant, de nouvelles fonctionnalités ont été découvertes dans lesquelles les cybercriminels commencent à cibler à la fois les systèmes UNIX et Linux afin d’élargir leur couverture et leurs possibilités de bénéficier des transactions réussies.
Heureusement jusqu’à présent, les taux d’infection et d’exposition enregistrés au malware Satan sont faibles. Cela dit, 2017 s’annonce comme une autre année sombre pour la sécurité des réseaux grâce au rythme croissant auquel les nouvelles variantes de ransomwares arrivent sur le marché. Actuellement, les ransomwares sont la menace de malwares dont la croissance est la plus rapide. Leur rythme d’évolution s’accélère également, rendant chaque nouvelle variante plus sophistiquée et plus dangereuse que son prédécesseur.
Les technologies de sécurité doivent être simples et faciles à déployer, car les complexités augmentent les risques de cybercriminalité. La sécurité doit être inhérente et omniprésente dans l’ensemble de l’entreprise, y compris l’ensemble du réseau, le centre de données, les points finaux et le cloud. Appuyez-vous sur vos fournisseurs de sécurité et mettez à profit leur expérience approfondie pour améliorer la sécurité de votre entreprise.