Dridex : quand le ransomware se fait créatif

Ransomware – Récemment des chercheurs ont mis à jour une nouvelle campagne d’envergure impliquant le cheval de Troie Dridex, aux caractéristiques plutôt inhabituelles, mais entraînant l’envoi de millions de messages comme à l’accoutumée. Cette campagne induit trois méthodes différentes de distribution de la charge, afin de garantir une efficacité accrue.

La charge finale correspond au botnet 220 et les utilisateurs basés au Royaume-Uni sont ciblés, en particulier les banques. Des ramifications ont également été identifiées en Australie et en France. Alors que les individus ciblés et le botnet employé n’ont rien d’inédit, on ne peut pas en dire autant des méthodes appliquées par les pirates. Les messages envoyés dans le cadre de cette campagne incluent les éléments suivants : Des pièces jointes au format Word et Excel comportant des macros malveillantes ; des kits d’exploitation qui entraînent le téléchargement automatique de Dridex lorsque les documents malveillants sont ouverts sur des systèmes vulnérables (voir failles de sécurité CVE-2015-1641 et CVE-2012-0158) ; des pièces jointes JavaScript zippées semblant être des documents PDF. Cette nouvelle approche est sans précédent, bien qu’il soit toujours question du téléchargement de Dridex lorsqu’un utilisateur ouvre un fichier JavaScript.

Ransomware : chaque  courrier électronique se caractérise par une méthode différente.
Il est cependant toujours question d’une facture envoyée dans le cadre de la location de toilettes mobiles. Certains utilisateurs considéreront immédiatement de tels messages comme des spams (peu nombreuses sont les personnes à louer des toilettes mobiles régulièrement), mais d’autres ouvriront malgré tout les documents joints, par  pure curiosité, ou quelconque raison, comme expliqué dans l’étude The Human Factor 2015. Lorsque le fichier JavaScript compressé est ouvert, aucun PDF n’est extrait. Il s’agit plutôt d’un fichier .js. Les études ont également permis de révéler que le fichier JavaScript était conçu pour ne pas être détecté par les antivirus. Ce qui n’est pas bien compliqué. certains antivirus ont tenté la chose et se sont retrouvés à diffuser des faux positifs, comme ce fût le cas, le 29 février avec Nod32. Sur les systèmes Windows, le fichier JavaScript semble sans danger et s’exécute automatiquement après un clic double. Lorsqu’un clic double est effectué sur le fichier JavaScript, le téléchargement du fichier binaire comportant Dridex démarre.

34frgegrg.exe, is bad !

En général, les campagnes induisant Dridex se caractérisent par des macros qui permettent presque exclusivement de diffuser les charges. Les Courriers électroniques avec fichier Excel joint comportant une macro qui permet le téléchargement de Dridex. L’exploit du document semble similaire, mais une seule action est requise par l’utilisateur : ouvrir le document joint sur un système vulnérable. Ceci constitue un processus inhabituel lorsqu’il est question de Dridex. Ce type d’attaque, qui revient en fait à simuler l’envoi d’une commande de programmation basique de type Hello World, est particulièrement efficace sur les systèmes vulnérables. Ce document est très probablement personnalisable et son contenu est destiné à rendre l’utilisateur moins suspicieux, ce qui n’aurait pas été le cas avec du texte de programmation.

Les pirates propageant Dridex savent faire preuve de créativité lorsqu’il est question de diffuser leurs charges. En outre, ils n’ont de cesse de développer de nouveaux procédés permettant de ne pas être confondus par les antivirus et autres mesures de détection. La curiosité peut se révéler dangereuse : il est toujours important de rappeler aux utilisateurs qu’il ne faut pas ouvrir les pièces jointes suspectes ou inhabituelles.

Quand le ransomware devient une affaire personnelle
De son côté, Bitdefender indique qu’un tiers des français interrogés sont prêts à payer une rançon pour récupérer leurs données. Les Français se disent prêt à payer jusqu’à 190 €, les Anglais jusqu’à trois fois plus  !

Au total des six pays référents de cette étude (États-Unis, Allemagne, France, Royaume-Uni, Danemark et Roumanie), les ransomwares ont fait un peu plus de 20 millions de victimes en 2015. Bitdefender explique que l’extortionware, malware qui bloque les comptes de services en ligne ou expose les données personnelles aux yeux de tous sur Internet, a bondi de 20% l’année dernière et compte pour une part de plus en plus importante de ces victimes.

Proportionnellement, les États-Unis est le pays le plus touché par cette cyber-menace avec 4.1% de sa population, victimes de ransomwares (soit 13.1 millions), suivi de l’Allemagne avec 3.8% (3.1 millions). En effet, comme le révélait une récente étude interne de Bitdefender2, les internautes américains sont des cibles de choix pour les attaques de ransomwares : 61,8% des attaques de malwares via e-mails aux États-Unis y ont diffusé du ransomware en 2015 (55.8% en France) et un e-mail sur cinq infectés par un ransomware au niveau mondial ciblait les États-Unis.

La France se place en 4e position de ce classement devant le Royaume-Uni avec respectivement 3.3% (2.2 millions) et 2.6% (1.7 million) de la population victime de ransomwares.

L’étude révèle également que moins de 50% des internautes savent précisément ce qu’est un ransomware et qu’il s’agit d’un type de menace qui ‘bloque ou limite l’accès aux données d’un PC’. Les Français sont les moins avertis puisque seulement 31% des personnes sondées sont capables de donner cette définition, quand 21% déclarent savoir qu’un ransomware ‘impacte l’ordinateur’ alors que 45% ‘ne savent pas’ ce qu’est un ransomware (vs. 21% des américains).

Le ransomware est la cyber-menace la plus lucrative pour les cybercriminels et l’on comprend aisément pourquoi : en moyenne, près de la moitié des victimes (32% des sondés en France) se disent prêtes à payer environ 500 € pour récupérer leurs données, même s’ils savent que les cybercriminels pourraient très bien ne pas leur fournir la clé de déchiffrement ou leur demander une somme supplémentaire, notamment pour développer de nouveaux outils. Les victimes américaines sont même 50% à avoir payé une rançon.

Une somme qui peut varier d’un pays à un autre puisqu’un Anglais se dit prêt à payer trois fois plus qu’un Français pour récupérer ses données (526 € vs. 188 €) mais toutes les victimes s’accordent pour dire que leurs données personnelles sont en tête de leurs préoccupations. En France 21% des répondants sont prêts à payer pour récupérer des documents personnels, 17% pour des photos personnelles et seulement 11% pour des documents professionnels.

Les ransomwares sont probablement la menace la plus importante pour les internautes depuis 2014 et resteront l’un des plus importants vecteurs de cybercriminalité en 2016. Selon les rapports fédéraux américains, les dommages liés au ransomware le plus récent et le plus important, CryptoWall et ses variantes, s’élèvent à 900 millions d’euros par mois. Ces dommages en pleine expansion sont d’autant plus élevés que le prix du kit ransomware Cryptolocker / Cryptowall 3.1 est vendu seulement 2700 € sur le black market, avec le code source, un manuel et une assistance gratuite.