TOOLinux

Le journal du Libre

Un « ransomware » sur le réseau Tor

mercredi 13 août 2014

Des améliorations techniques apportées au malware en font une menace véritablement dangereuse et l’un des « crypteurs » les plus élaborés à ce jour, comme on peut le lire sur le blog sécuritaire de l’éditeur.

Le malware Onion est le successeur d’autres « crypteurs » connus comme CryptoLocker, CryptoDefence/CryptoWall, ACCDFISA ou encore GpCode. Il incarne un nouveau type de ransomware de cryptage qui utilise un mécanisme de compte à rebours pour menacer ses victimes et les contraindre à verser une somme en Bitcoins, en échange du décryptage de leurs données. Les cybercriminels affirment ainsi qu’il ne reste qu’un délai de 72 heures pour payer, faute de quoi tous les fichiers seront perdus à jamais.

Pour transférer des informations secrètes et des coordonnées de paiement, Onion communique avec des serveurs de commande et de contrôle (C&C) situés quelque part sur le réseau anonyme. Précédemment, les chercheurs de Kaspersky Lab ont déjà rencontré ce type d’architecture de communication, mais uniquement employé par quelques familles de malwares bancaires, à l’exemple de ZeuS 64 bits renforcé avec Tor.

« Il semble qu’après avoir fait ses preuves comme moyen de communication, Tor soit à présent utilisé par d’autres types de programmes malveillants. Le malware Onion présente des améliorations techniques par rapport aux cas précédents où les fonctions de Tor ont servi dans des attaques. Le masquage des serveurs C&C au sein d’un réseau Tor anonyme complique la recherche des cybercriminels, tandis que le recours à une méthode cryptographique peu orthodoxe rend impossible le décryptage des fichiers, même si le trafic est intercepté entre le trojan et le serveur. Toutes ces caractéristiques en font une menace extrêmement dangereuse et l’un des « crypteurs » en circulation les plus avancés sur le plan technologique », commente Fedor Sinitsyn, Senior Malware Analyst chez Kaspersky Lab.

Une infection en trois étapes

Pour atteindre un terminal, le malware Onion passe tout d’abord par le botnet Andromeda (Backdoor.Win32.Androm). Ce dernier reçoit alors l’ordre de télécharger et d’exécuter, sur le terminal infecté, un autre programme malveillant de la famille Joleee. Cet autre malware télécharge à son tour Onion sur l’appareil en question. Cela ne représente toutefois que l’un des différents modes de propagation possibles observés par Kaspersky Lab.

Répartition géographique

La plupart des tentatives d’infection ont été enregistrées dans la CEI (les pays de l’ex-URSS), tandis que des cas isolés ont été repérés en Allemagne, en Bulgarie, en Israël, aux Emirats Arabes Unis et en Libye.

Les plus récents échantillons du malware offrent une interface utilisateur en langue russe et, de plus, un certain nombre de messages dans le code trojan sont en russe. Cela donne à penser que les auteurs du programme parlent cette langue.