Découverte d’un ransomware utilisant le réseau Tor

Sur le web

Par Gregori Pujol le

Kaspersky Lab a découvert un ransomware de cryptage – un type de programme malveillant qui crypte les données d’un utilisateur puis réclame une rançon pour en déverrouiller l’accès – utilisant un nouveau mode opératoire. Nommé « Onion » celui-ci se sert du réseau anonyme Tor (The Onion Router) pour dissimuler son caractère malveillant et empêcher de remonter jusqu’à ses auteurs. Des améliorations techniques apportées au malware en font l’un des « crypteurs » les plus élaborés à ce jour.

Le malware Onion est le successeur d’autres « crypteurs » connus comme CryptoLocker, CryptoDefence/CryptoWall, ACCDFISA ou encore GpCode. Il incarne un nouveau type de ransomware de cryptage qui utilise un mécanisme de compte à rebours pour menacer ses victimes et les contraindre à verser une somme en Bitcoins, en échange du décryptage de leurs données. Les cybercriminels affirment ainsi qu’il ne reste qu’un délai de 72 heures pour payer, faute de quoi tous les fichiers seront perdus à jamais (ou revendus).

Pour transférer des informations secrètes et des coordonnées de paiement, Onion communique avec des serveurs de commande et de contrôle (C&C) situés quelque part sur le réseau anonyme. Précédemment, les chercheurs de Kaspersky Lab ont déjà rencontré ce type d’architecture de communication, mais uniquement employée par quelques familles de malwares bancaires, à l’exemple de ZeuS 64 bits renforcé avec Tor. Pour atteindre un terminal, le malware Onion passe tout d’abord par le botnet Andromeda (Backdoor.Win32.Androm). Ce dernier reçoit alors l’ordre de télécharger et d’exécuter, sur le terminal infecté, un autre programme malveillant de la famille Joleee. Cet autre malware télécharge à son tour Onion sur l’appareil en question.

Le meilleur moyen d’assurer la sécurité des données critiques est d’en effectuer régulièrement des sauvegardes, et ce, sur un périphérique de stockage qui n’est accessible que pendant la durée de l’opération.

onion3_FS_final_eng_2_sm

Source: Source