Les ransomwares représentent une menace sérieuse dans la mesure où ils prennent en otage les fichiers et documents d’un appareil et le propriétaire dispose parfois d’une fenêtre de temps pour payer la rançon, au risque de voir ses données supprimées. Mais qu’est-ce qui garantit que le hacker va effectivement remettre la clé de déchiffrement une fois la rançon payée ? Sans compter le fait qu’il n’est pas conseillé de payer ces demandeurs de rançon étant donné que leur activité s’en trouve encouragée.
Aussi, pour éviter de payer, les victimes peuvent faire appel à une société de conseil en informatique qui les aidera à déchiffrer leurs fichiers.
Deux chercheurs de Check Point ont découvert Dr Shifro alors qu’ils examinaient les dernières souches du Dharma ransomware. Dr Shifro prétend être une société de conseil en informatique dont l’objectif est de récupérer les fichiers chiffrés de ses clients. Les suspicions du duo ont été immédiatement éveillées par la publicité de la société, laquelle avançait, selon Check Point, qu’une entreprise russe inouïe apparemment basée dans une rue de Moscou était capable de casser le cryptage RSA-1024, c’est-à-dire de décrypter les données sans clé privée.
Les estimations varient, mais la plupart ont convenu qu’il en faudrait des années, voire des décennies, avec le matériel actuel pour y parvenir. Néanmoins, Check Point a affirmé avoir « réussi à obtenir » une correspondance entre Dr Shifro et un client qui montrait que Dr Shifro avait déchiffré des fichiers verrouillés par des ransomware en deux heures.
Les chercheurs se sont alors demandé s’il était possible que Dr Shifro agisse simplement comme un intermédiaire entre les opérateurs de ransomware et leurs victimes afin d’en tirer parti : « Un temps de réponse aussi rapide ne peut signifier que Dr Shifro possède des clés privées RSA pour ce cas d’infection ou qu’il interagit instantanément avec l’opérateur du logiciel de ransomware pour les recevoir ».
Et le piège se met en place
Ils ont monté une opération pour laquelle ils se sont servi de l’algorithme de cryptage Dharma et d’une clé publique RSA-1024 nouvellement générée pour crypter plusieurs fichiers, ainsi que la configuration d’une adresse électronique qui allait passer pour celle du faux créateur de ransomware. Ils ont inséré cette adresse électronique dans le nom de fichier des fichiers cryptés avant de se faire passer pour une victime d’un ransomware demandant de l’aide à Dr Shifro.
Ils ont expliqué que Dr Shifro « est resté silencieux pendant deux jours ». Ensuite, le faux créateur du ransomware a reçu un courrier électronique avec les fichiers cryptés en pièce jointe, demandant de l’aide pour le décryptage et proposant un paiement en Bitcoin. Check Point a souligné que seuls eux et le Dr Shifro connaissaient l’adresse e-mail du créateur du faux ransomware, concluant que la personne qui les avait contactés était derrière cette activité russe du déchiffrement.
Après des échanges de courrier électronique entre Dr Shifro et le faux créateur du ransomware, Check Point a résumé le modèle commercial de l’acteur qui explique « Je suis un intermédiaire. Nous échangeons régulièrement les clés pour des clients depuis 2015. Envoi de bitcoins, pas de questions idiotes. Les clients sont fréquemment transmis par recommandation ». Par la suite, l’interlocuteur a demandé « Pouvez-vous réduire le coût à 0,15 btc ? »
Juste pour en être sûr, Check Point a ensuite à nouveau envoyé à Dr Shifro un message électronique, se présentant comme la victime initiale, demandant d’être informé sur l’évolution de son cas. La société russe a répondu : « Nous avons réussi à déchiffrer vos fichiers. Le coût de l’outil de déchiffrement est de 150 000 roubles + la visite d’un spécialiste de 5 000 roubles (le coût est pour la région de Moscou) ».
La firme « avait ajouté environ 1 000 dollars au prix initial de la rançon demandé par notre faux opérateur de ransomware », a déclaré Check Point.
En somme, ils ont découvert que Dr Shifro contactait lui-même en contact le créateur du logiciel de ransomware et cherchait à conclure un accord pour déverrouiller les fichiers de la victime en échange du paiement de la rançon. Dans le cas d’espèce, la rançon était de 1 300 dollars. Dans sa facturation, Dr Shifro fait répercuter ce coût sur la victime, en y ajoutant ses propres frais (1 000 $ de plus).
En conséquence, les fichiers de la victime sont déchiffrés, le cybercriminel reçoit le paiement de sa rançon et Dr Shifro, moyennant une majoration importante, gagne au passage une grosse marge.
Les chercheurs estiment qu’avec plus de 300 déchiffrements effectués pour ses clients depuis 2015, Dr Shifro a pu encaisser au moins 100 btc. Les chercheurs affirment que les revenus de ce type d’activité s’élèvent à au moins 300 000 $, calculés au prix moyen du BTC de 3 000 $ enregistré au cours de leur enquête. Cependant, il n’est pas clair si toutes les victimes ont été facturées de la même manière.
Une activité qui a porté du fruit
Check Point a été en mesure de retrouver l’identité réelle de l’opérateur de Dr Shifro en demandant simplement une copie du contrat offert par la société aux clients potentiels du décryptage : « La réponse que nous avons reçue contenait un modèle de contrat civil et documents d’enregistrement de la personne derrière Dr Shifro, y compris des scans de son passeport ».
En vérifiant ces informations par deux fois sur le site Web du Dr Shifro, Check Point a déclaré avoir trouvé le nom complet de l’opérateur figurant dans un soi-disant message de satisfaction de la clientèle publié sur le site. Le nom a également été vérifié par rapport aux propres recherches de référence de Check Point, qui ont révélé que le pseudonyme lié à l’adresse e-mail qu’il utilisait pour Dr Shifro avait été réutilisée sur suffisamment de sites de médias sociaux pour qu’ils puissent identifier un profil Vkontakt avec le nom réel de la personne et sa photo.
Son compte Bitcoin indiquait un volume d’échanges d’un peu plus de 100BTC au cours des deux dernières années. Au moment de l’enquête, la valeur du Bitcoin était de 3000 dollars. Les chercheurs ont trouvé les traces d’au moins 300 « contrats » sur cette période.
Conclusion
La recommandation générale est de ne pas payer la rançon afin de rendre l’activité de ransomware non rentable. Donc, faire appel à une entreprise capable de déchiffrer des fichiers est un moyen de récupérer les données sans déployer ses finances dans une activité criminelle.
Les victimes de Ransomware doivent savoir qu’une entreprise légitime offrant des services de déchiffrement de fichiers ne fait pas de déclarations audacieuses quant à la réussite de leurs efforts, car il y a de fortes chances que les données soient verrouillées par un cryptage renforcé. Seule la disponibilité des clés de déchiffrement peut donner la confiance de la récupération.
Les entreprises de récupération de données ne sont pas nouvelles sur la scène des ransomwares. Coveware, une société qui gère les incidents liés aux ransomwares, fait preuve de franchise quant à ses activités, mais bon nombre d’entre elles cachent le fait qu’elles ne font que négocier avec le développeur du programme malveillant pour obtenir une clé de déverrouillage.
Selon une étude des menaces liées à la criminalité organisée sur Internet menée par Europol en 2018, la valeur estimée du secteur des logiciels rançonneurs atteint désormais 5 milliards de dollars, qui sont soustraits de l’économie mondiale chaque année.
Source : Check Point