Actualité
19/07/2007
Les entreprises du Fortune 1000 rançonnées par des pirates
Plusieurs grandes entreprises ont été la cible d'une attaque informatique menée par le biais d'un programme malveillant d'un genre un peu particulier puisqu'il s'agit d'un Ransomware - contraction de ransom ou rançon, et de malware -. Selon Associated Press, des sociétés telles que Unisys ou Hewlett-Packard auraient été visées par ce code rançonneur. Développé par un gang de pirates baptisé Glamorous Team, vraisemblablement russe d'après l'éditeur d'antivirus Kaspersky, ses fonctions sont de chiffrer des fichiers pour les rendre inutilisables par l'utilisateur. Dans le répertoire comprenant des documents encryptés apparait alors un simple fichier texte (readme.txt), précisant les conditions des rançonneurs : "Bonjour, vos fichiers sont encryptés avec l'algorithme RSA-4096. Il vous faudra au moins plusieurs années pour les décrypter sans notre logiciel. Nous avons collecté toutes vos données personnelles des trois derniers mois. Pour accéder à vos fichiers, il vous faut acheter notre logiciel. Le prix est de 300 dollars". La victime de Sinowal.FY ou Gpcode.ai, avait jusqu'au 15 juillet pour contacter les pirates, dont l'adresse électronique est jointe à la lettre, et pour convenir des conditions du versement, sous peine de perdre définitivement ses fichiers. Sans la clef de cryptage et si les fichiers étaient réellement chiffrés à partir d'une clef RSA de 4096 bits, il serait en effet impossible à une entreprise de les récupérer.
Sauf que les premières analyses menées par les chercheurs de Kaspersky Lab révèlent que l'algorithme de chiffrement est en réalité bien moins puissant que celui de RSA. Les fichiers n'en demeurent pas moins chiffrés. Quant au programme malveillant, un cheval de Troie, il est transmis par voie d'email. Selon l'éditeur Panda Software, il aurait été développé à partir d'un kit vendu au marché noir pour la somme de 1 000 dollars.
Les Ransomwares ne sont pas nouveau, même si les pirates en ont très peu fait usage. En 2005 déjà PGPCoder chiffrait les fichiers des ordinateurs contaminés. En avril 2006, Trojan Zippo-A (aka Cryzip) prenait en otage, dans l'attente du paiement d'une rançon de 300 dollars, les fichiers aux extensions .doc, .xls ou .xml, qu'il compressait en archives Zip, verrouillées par mot de passe.
|