Ce malware ne chiffre pas seulement les données, il menace également la victime de les faire fuiter sur la Toile en cas de non paiement. Si cette menace n’est pas bidon et qu’elle se généralise, les conséquences seraient terribles.
Un nouveau mode opératoire particulièrement vicieux est peut-être en train de surgir dans le monde du rançongiciel. Les chercheurs en sécurité de MalwareHunterTeam ont mis la main sur une nouvelle version de MegaCortex, un ransomware qui a été découvert pour la première fois en mai dernier et qui cible avant tout les entreprises et organisations professionelles.
Jusqu’à présent, son fonctionnement était plutôt classique : il est installé au travers d’un cheval de Troie tel que Emotet ou Qakbot, puis il chiffre les données des stations de travail et demande une rançon.
Mais la dernière mouture ajoute quelques subtilités importantes, comme le précise BleepingComputer. Désormais, MegaCortex ne chiffre pas seulement les données, il change également le mot de passe de la machine Windows. Une fois que la session est verrouillée, l’utilisateur ne pourra donc plus s’y loguer. Mais la grande surprise se trouve dans le message de rançon. Les pirates expliquent avoir « téléchargé les données dans un espace sécurisé ». Et ils seraient prêts à publier ces données si la victime ne paie pas. En cas de paiement, les données seraient évidemment détruites.
A l’heure actuelle, on ne sait pas si cette menace est réelle ou s’il s’agit d’un bluff. Techniquement, la menace peut être appliquée. Grâce au cheval de Troie, les pirates disposent d’un accès à la machine avant l’installation du ransomware. Mais un tel transfert de données est risqué, car il peut être détecté au niveau des flux réseau, surtout si le volume est important. Il faudrait, par conséquent, que les pirates disposent d’un canal d’exfiltration suffisamment discret, donc sophistiqué.
Les sauvegardes deviendraient inutiles
Si cette menace s’avère, le cauchemar du ransomware – qui se situe déjà à un niveau très élevé – va considérablement s’intensifier. Une telle menace rendrait totalement inopérante la principale protection dont on dispose jusqu’à présent contre ces malwares, à savoir les sauvegardes de données.
L’entreprise qui décide de ne pas payer et de restaurer ses données serait confrontée à un scandale d’autant plus grand que les informations fuitées sont sensibles. Un hôpital peut difficilement risquer la publication des données de ses patients. Une banque pourrait mettre la clé sous la porte si les données financières de ses clients se retrouvaient sur la Toile. C’est inextricable.
Les experts en sécurité redoutent une telle situation depuis quelque temps.
« La prochaine évolution du ransomware est probablement le chiffrement de données assorti d’un vol de données, avait estimé Charles Carmakal, vice-président en charge des services stratégiques chez FireEye, à l’occasion de la conférence CyberDefense Summit 2019 en octobre dernier.
Pour les entreprises, ce serait une histoire totalement différente à gérer, car les fuites de données sensibles doivent être notifiées et peuvent créer un lourd dommage à l’organisation. Mais à ce jour, nous n’avons encore jamais vu un tel scénario. »
Ce nouveau cap vient donc peut-être d’être franchi.
Source : 01net