Ransomware : SynAck va devenir El_Cometa
Le gang de ransomware SynAck a publié des clés de déchiffrement pour les victimes ayant été infectées entre juillet 2017 et 2021, selon des données obtenues par The Record.
SynAck souhaite modifier son image et s’est rebaptisé El_Cometa. Un membre de l’ancien groupe a donné les clés à The Record.
Michael Gillespie, d’Emsisoft, confirme que les clés de déchiffrement sont authentiques. Néanmoins, Emisoft travaille sur son propre utilitaire de déchiffrement, qui serait « plus sûr et plus facile à utiliser ». En effet, la société craint que les victimes du ransomware n’endommagent davantage leurs fichiers en utilisant les clés fournies par le groupe.
Emisoft travaille sur un utilitaire maison utilisant les clés fournies
L’expert en ransomware Allan Liska indique à ZDNet que le groupe de ransomware SynAck a démarré juste avant que le Ransomware-as-a-service ne commence à décoller, en 2018. « Ils n’ont donc jamais externalisé leurs activités de ransomware. Ils ont poursuivi leurs attaques, mais n’ont jamais pu en mener autant que des groupes comme Conti ou REvil. Ils se sont donc perdus dans la masse », raconte-t-il. « Ils n’ont jamais non plus touché de cibles vraiment importantes. »
Selon un rapport de Kaspersky Lab, publié en 2018, SynAck s’est différencié en 2017 en n’utilisant pas de portail de paiement pour les rançons. Le groupe demandait plutôt aux victimes d’organiser le paiement en bitcoins par le biais d’un e-mail ou d’un identifiant BitMessage.
Le montant des rançons tournait autour de 3 000 dollars, et le groupe a acquis une certaine notoriété en utilisant la technique du Doppelgänging, qui cible le système d’exploitation de Microsoft, Windows, et est conçue pour contourner les logiciels de sécurité et les solutions antivirus traditionnels en exploitant la manière dont ils interagissent avec les processus de mémoire.
El_Cometa se lance dans le RaaS
Il existe peu de données sur les victimes de ce groupe de ransomware, mais les chercheurs de Kaspersky Lab ont observé des attaques aux Etats-Unis, au Koweït, en Allemagne et en Iran.
« La capacité de la technique du Doppelgänging à faire passer les malwares à travers les mesures de sécurité les plus récentes représente une menace importante qui, sans surprise, a été rapidement exploitée par les attaquants », explique Anton Ivanov, analyste principal des logiciels malveillants chez Kaspersky Lab. « Nos recherches montrent comment le ransomware SynAck, relativement peu visible et ciblé, a utilisé cette technique pour améliorer sa furtivité et sa capacité d’infection. Heureusement, la logique de détection de ce ransomware a été mise en œuvre avant son exploitation active. »
Un représentant de SynAck a déclaré à The Record que le groupe prévoit de lancer une nouvelle plateforme de ransomware-as-a-service, et de recruter des affiliés pour les aider dans leur travail sur El_Cometa.
De nombreux groupes de ransomware, comme Avaddon et Prometheus, ont publié des outils de déchiffrement au cours des derniers mois, soit dans le but de changer l’image de leur “marque”, soit en conséquence d’une répression plus grande de la part des forces l’ordre.
Source : ZDNet.com
