Les ransomwares représentent une menace sérieuse dans la mesure où ils prennent en otage les fichiers et documents d’un appareil et le propriétaire dispose parfois d’une fenêtre de temps pour payer la rançon, au risque de voir ses données supprimées. Mais qu’est-ce qui garantit que le hacker va effectivement remettre la clé de déchiffrement une fois la rançon payée ? Sans compter le fait qu’il n’est pas conseillé de payer ces demandeurs de rançon étant donné que leur activité s’en trouve encouragée. On se rappelle de Dharma. Apparu pour la première fois en novembre 2017, Dharma est une variante du ransomware Crysis. Il est facile de le reconnaître à sa trace par l’ajout aux fichiers chiffrés de l’extension .[email_address].dharma, où l’adresse mail correspondante est celle qui est utilisée par le pirate pour tenter d’extorquer sa victime.
Depuis mi-décembre de l’année dernière, un groupe de cybercriminels à l’origine d’une série d’attaques par rançon de logiciels malveillants distribue une nouvelle forme de maliciel de cryptage de fichiers qui combine deux variantes bien connues et efficaces dans une série d’attaques contre des entreprises dans le monde entier. Le logiciel de rançon, surnommé Phobos par créateurs, présente des similitudes techniques et opérationnelles avec plusieurs variantes du Dharma. Comme Dharma, Phobos exploite les ports RDP ouverts ou mal sécurisés pour se faufiler à l’intérieur des réseaux et exécuter une attaque de rançon, chiffrer les fichiers et exiger une rançon à payer en bitcoin pour retourner les fichiers, qui dans ce cas sont verrouillés avec une extension .phobos.
À part l’ajout des logos de ‘Phobos’ à la demande de rançon, c’est exactement la même que la note utilisée par Dharma, avec la même police de caractères et le même texte. « La plupart des logiciels de rançon laissent une demande de rançon évidente afin que la victime puisse la trouver et contacter le pirate. Généralement, ces notes varient considérablement en fonction de la souche du logiciel de rançon. Cependant, Dharma et Phobos utilisent la même demande de rançon. La seule différence visible est que Phobos a ajouté son logo en haut et en bas. Phobos Ransomware Note est similaire à une Note du Dharma », indique Coveware, une entreprise qui aide les clients à mieux comprendre les particularités associées à certaines souches de ransomware.
Phobos n’est que légèrement différent du Dharma. Cependant, d’un point de vue technique, Phobos présente quelques différences subtiles par rapport aux variantes actives du dharma. Les deux types de logiciels de rançon tirent leurs limites de la famille de logiciels de rançon Crysis et les outils d’antivirus couramment utilisés identifient un échantillon exécutable de Phobos comme Crysis, précise Coveware. « Les différences observées dans une analyse récente de @Demonslay335 indiquent que la structure des marqueurs de fichiers de Phobos est significativement différente de celle des variantes du Dharma. Ce qui est clair, c’est que même si le type de logiciel de rançon peut être différent, le groupe qui distribue Phobos, les méthodes d’exploitation, les notes de rançon et les communications restent presque identiques au Dharma », explique Coveware.
Source : Coveware