La lutte contre Locky et Samas a certainement été un casse-tête majeur pour les services informatiques. Ces deux variantes de ransomware ont été dotées de fonctions intelligentes conçues pour prévenir leur détection, pour faire croître les infections et pour infliger le plus de dommages possible, ne laissant souvent aux entreprises que le choix de payer la rançon.
Cependant, une nouvelle menace de ransomware est apparue, et elle pourrait bien être encore plus menaçante que Locky et Samas : Spora. Heureusement, ses auteurs semblent ne cibler que les utilisateurs russes, mais il est fort possible qu’ils changent de cibles. Une version russe du ransomware a été utilisée jusqu’à présent pour mener des attaques cybercriminelles, mais une version anglaise vient d’être créée. Les attaques de ransomware Spora seront bientôt un problème mondial.
Les pirates informatiques ont passé une grande partie de leur temps et ont concentré leurs efforts à la production de Spora et il est peu probable qu’une clé de déchiffrement soit créée en raison de la façon dont ce ransomware chiffre les données.
Contrairement à de nombreuses nouvelles attaques de ransomware qui dépendent d’un serveur de commande et de contrôle pour recevoir les instructions, Spora peut chiffrer les fichiers même si l’utilisateur est hors ligne. La fermeture de l’accès à Internet n’arrêtera pas l’infection. Il n’est pas non plus possible de restreindre l’accès au serveur C&C pour se protéger de cette attaque.
D’autres variantes de ransomwares ont été créées pour chiffrer les fichiers sans communication C&C, mais une seule clé permettait de les déchiffrer. Par contre, pour déchiffrer les fichiers infectés par Spora, les victimes doivent utilisent une clé de déchiffrement unique. Une clé publique RSA codée en dur est utilisée pour créer une clé AES unique pour chaque utilisateur. La clé AES est ensuite utilisée pour chiffrer la clé privée d’une paire de clés RSA publique/privé établie avec chaque victime, sans communication C&C. Par ailleurs, la clé RSA chiffre les clés AES séparées pour chaque utilisateur. Sans cette clé, qui est fournie par les pirates, la victime ne pourra pas déverrouiller les fichiers.
Ce processus de chiffrement complexe rend Spora unique, et ce n’est pas tout ! Contrairement à de nombreuses autres variantes de ransomwares, les pirates ne fixent pas le montant de la rançon. Cela donne aux pirates un certain degré de flexibilité et, ce qui est encore plus inquiétant, c’est que ce processus se produit automatiquement.
De par cette flexibilité, chaque entreprise victime de l’attaque peut se voir facturer un montant différent. L’ensemble de la rançon est calculé en fonction de l’étendue de l’infection et des types de fichiers chiffrés. Puisque Spora recueille des données sur l’utilisateur, lorsque le contact est établi pour payer la rançon, les montants peuvent facilement être modifiés.
Lorsque les victimes visitent le portail du pirate pour payer la rançon, elles doivent fournir le fichier clé infecté par le ransomware. Les fichiers clés contiennent une série de données sur l’utilisateur, y compris les détails de la campagne utilisée. Les hackers peuvent donc surveiller de près les infections et les campagnes. Ils peuvent ensuite réutiliser les campagnes qui réussissent et qui donnent lieu à un plus grand nombre de paiements pour atteindre d’autres cibles. Celles qui sont moins efficaces sont mises à l’oubli.
À l’heure actuelle, il existe un certain nombre d’options de paiement. Les victimes peuvent choisir de payer la rançon pour déverrouiller le chiffrement, ou de payer un montant supplémentaire pour éviter de futures attaques, en bénéficiant essentiellement d’une sorte d’immunité contre le ransomware.
Les experts d’Emisoft qui ont analysé Spora affirment qu’il est loin d’être une variante qui a été mise au point à la va-vite. Le groupe qui l’a conçu est très bien informé et le processus de chiffrement ne contient aucune faille, ce qui est rare pour une nouvelle variante de ransomware. La conception de la demande de rançon est écrite dans un format HTML. Le portail de paiement est très sophistiqué et contient une option de chat pour permettre la communication avec les hackers. La grande complexité de cette attaque est le fruit de beaucoup d’investissements et d’un travail acharné. De plus, il est peu probable que cette menace disparaisse rapidement. En fait, elle pourrait s’avérer l’une des menaces les plus graves à l’avenir.
L’infection se produit actuellement par le biais de spams contenant des pièces jointes ou des liens malveillants. Actuellement, les pièces jointes ressemblent à des factures PDF, bien qu’il s’agisse de fichiers HTA incluant du code JavaScript. La meilleure défense, c’est donc d’empêcher ces e-mails d’arriver dans les boites de réception des utilisateurs finaux. Une sauvegarde de vos données sera également nécessaire pour vous permettre de récupérer vos informations sensibles, plutôt que de payer la rançon.