Le code source du rançongiciel Dharma mis en vente
Le code source d’une souche de ransomware majeure nommée Dharma a été mis en vente sur deux forums de hackers russes au cours du week-end.
Le FBI, lors de la conférence de sécurité RSA cette année, a classé Dharma au deuxième rang des rançongiciels les plus lucratifs de ces dernières années, après avoir extorqué plus de 24 millions de dollars de paiements aux victimes entre novembre 2016 et novembre 2019. Maintenant, son code source est en vente pour le prix de 2 000 dollars – ce qui inquiète les chercheurs en sécurité.
Plusieurs experts en ransomware qui se sont entretenus avec ZDNet aujourd’hui ont déclaré que la vente du code de ransomware Dharma entraînerait très probablement sa publication éventuelle sur Internet et à un public plus large. Ceci, à son tour, entraînerait une diffusion plus large parmi plusieurs groupes de cybercriminalité et une éventuelle augmentation des attaques.
La raison pour laquelle tout le monde s’inquiète est que Dharma est une souche avancée de ransomware, créée par un auteur de malware expérimenté. Ses outils de chiffrement sont très avancés et indéchiffrables depuis 2017. Pour être plus précis, les seules fois où le ransomware a été “décrypté”, c’est lorsque des inconnus ont divulgué les clés de déchiffrement principales – et non en raison d’une faille de chiffrement.
Une brève histoire de Dharma
Le rançongiciel Dharma a une histoire longue et sinueuse. Il a d’abord commencé sous le nom de CrySiS à l’été 2016. CrySis était un malware dit Raansomware-as-a-Service (RaaS). L’auteur de CrySiS a créé un service où les clients (les autres groupes criminels) pouvaient générer leurs propres versions du ransomware à distribuer aux victimes – généralement via des campagnes de spam, des kits d’exploitation ou des attaques par force brute sur des machines en RDP.
Après que quelqu’un a divulgué les clés de déchiffrement principales CrySiS en ligne en novembre 2016, CrySiS a été relancé sous le nom de Dharma deux semaines plus tard. Bien que certaines clés de déchiffrement Dharma aient également été publiées en ligne en mars 2017, les opérateurs Dharma n’ont pas changé de nom cette fois-ci et ont continué de fonctionner sans être dérangés, faisant de leur RaaS l’une des plus grandes solutions clé en main de ransomware dans le monde criminel.
Pendant des années, il y a eu un flux constant de nouvelles versions du Dharma, car le ransomware a reçu des mises à jour et de nouveaux clients se sont inscrits pour le distribuer dans le monde entier, chacun diffusant sa propre variation unique de Dharma. Comme le monde criminel a évolué en 2018 et 2019, passant de la distribution de masse de ransomware (via le spam par e-mail) aux attaques ciblées (sur les réseaux d’entreprise), Dharma a fait de même.
La “concurrence” de Phobos
Au printemps 2019, une nouvelle souche de ransomware appelée Phobos est apparue en ligne, utilisée principalement dans les attaques ciblées. Les chercheurs en sécurité de Coveware et Malwarebytes n’ont pas tardé à souligner que Phobos était presque identique à Dharma.
Mais Dharma n’est pas mort une fois la nouvelle branche Phobos sortie. Michael Gillespie, chercheur de logiciels malveillants chez Emsisoft et créateur d’ID-Ransomware, explique à ZDNet que les chargements d’échantillons vers son service ID-Ransomware sont restés à égalité entre Dharma et Phobos tout au long de l’année dernière.
Ces statistiques sont également confirmées par la société de cybersécurité Coveware, qui note dans un rapport que Dharma représentait 9,3 % des incidents de ransomware au quatrième trimestre 2019, tandis que Phobos représentait 10,7 %.
Jakub Kroustek, responsable threat intel chez Avast, a repéré trois nouvelles versions de Dharma cette semaine seulement, ce qui signifie que les groupes criminels trouvent toujours le code de Dharma fiable et continuent de l’utiliser même aujourd’hui, plus de trois ans après son lancement.
John Fokker, responsable des investigations chez McAfee, explique à ZDNet que le code Dharma circulait déjà dans les communautés de pirates depuis un certain temps, mais il n’apparaît que maintenant sur davantage de forums publics.
Gillespie, qui a publié des dizaines de décrypteurs de ransomwares dans le passé et a même reçu un prix du FBI pour ses efforts, précise à ZDNet qu’il n’a pas pu trouver de failles de décryptage dans Dharma dans le passé. Fokker espère maintenant que le code source du Dharma finira par se retrouver entre les mains des chercheurs en sécurité. « Si nous (les gentils) pouvons mettre la main sur le code source, nous pourrons peut-être trouver des défauts », ajoute Fokker.
Source : ZDNet.com
