Pourquoi Retadup n'était pas un ransomware

Il y a deux semaines, la police française, avec l'aide d'Avast, a éradiqué Retadup, un ver qui avait infecté 850 000 machines avec un malware de cryptojacking. La quantité exceptionnelle d'ordinateurs victimes de cette attaque la rend comparable à Wannacry. Et si l'auteur avait décidé de diffuser un ransomware ?

Début 2019, Avast a partagé des informations sur la menace Retadup avec le Centre de lutte contre la cybercriminalité (C3N) de la Gendarmerie nationale française, et a proposé une technique pour désinfecter les machines victimes. Conformément aux recommandations des éditeurs, le C3N a démantelé un serveur de commande et de contrôle malveillant (C&C) et l'a remplacé par un serveur de désinfection.

Les descriptions techniques de Retadup expliquent qu'il est fondé sur deux composants distincts : un ver, utilisé comme vecteur, destiné à s'exporter vers autant de machines que possible et le malware de cryptojacking, transporté par le ver. En théorie, le ver aurait pu être un véhicule pour n'importe quoi d'autre, y compris un ransomware.

Malware est un terme générique qui désigne tout logiciel, dont le but est d'altérer, d'endommager ou d'interrompre complètement le fonctionnement normal d'un ordinateur, d'un serveur ou de tout élément informatique appartenant à un individu, une institution publique ou une entreprise. Il existe de nombreux types de malwares et différents vecteurs pour les distribuer en fonction des résultats escomptés (cibler un ensemble spécifique de machines ou plutôt "propager l'infection" autant que possible).

Les malwares ne sont pas nouveaux. Les "virus" existent depuis que les réseaux existent. Ce qui a changé, ce sont les avantages qu'une organisation malveillante peut retirer de l'exploitation de telles menaces. Il y a trente ans, la récompense était au mieux la satisfaction d'endommager les biens d'autrui. C'était surtout une démarche nihiliste. De nos jours, des menaces plus élaborées et des vecteurs de distribution avancés pour les malwares permettent aux organisations criminelles d'en tirer profit. Les ransomwares et le cryptojacking sont que deux des nombreuses menaces qui existent, mais elles sont extrêmement populaires parmi les cyber criminels en raison du retour sur investissement important qu'elles offrent.

Le cryptojacking est fondamentalement la version informatique du "skimming" d'un casino. Sa fonction est de "détourner" une partie de la puissance de calcul de chacune de ses victimes et de l'utiliser pour extraire des cryptomonnaies qui se transforment en argent pour l'auteur du crime. Pour générer un profit, le malware doit être distribué à plusieurs milliers de machines, mais à notre époque de réseaux, c'est absolument faisable.

Le ransomware est plus comparable à une prise d'otage. Les données d'une entreprise, d'une institution ou d'un individu sont cryptées et rendues illisibles jusqu'à ce que la victime paie une rançon. Théoriquement, une fois la rançon payée, la victime reçoit une clé ou une solution pour déchiffrer ses données et se remettre complètement de l'attaque. Les ransomwares modernes ciblent également les sauvegardes afin que la victime n'ait pas la possibilité de contourner la rançon.

Les attaques de ransomwares se sont avérées extrêmement lucratives ces derniers mois, d’autant plus maintenant que certaines compagnies d'assurance remboursent les rançons. Elle ne sont cependant pas vraiment discrètes. Parce qu'ils représentent une menace grave et nominative et parce qu'il peut y avoir des enjeux sérieux, la police peut être impliquée assez rapidement. Une action en justice et une enquête sont souvent déclenchées. De plus, le paiement peut s'avérer problématique. Toutes les victimes n'ont pas les connaissances techniques nécessaires pour payer la rançon en bitcoin ou autres et, bien sûr, une transaction via une mallette de billet est hors de l'équation.

Les campagnes de Cryptojacking à l'inverse sont extrêmement discrètes. La part des ressources volées sur chaque machine par des malwares tels que Retadup est généralement très faible, ce qui signifie qu'elle ne sera pratiquement pas remarquée par les utilisateurs humains, car elle n'aura pas d'impact sur la performance. Elles peuvent durer très longtemps sans être détectées et bien que le gain puisse être énorme pour les auteurs, la perte est en fait minime pour chaque victime. Une fois extraites, les cryptomonnaies ne permettent pas de remonter jusqu'au malware et, mieux encore, elles peuvent être utilisées dans diverses activités de blanchiment, ce qui en fait un atout majeur pour les organisations criminelles. En fin de compte, c'est un choix plus sûr pour les organisations criminelles qui recherchent la discrétion plutôt que des gains rapides.

Les auteurs de Retadup ont opté pour le cryptojacking. Ils recherchaient avant tout la discrétion, pensant qu’une monétisation lente était plus prudente et plus sûre qu’une attaque visible. Mais le mode d’infection choisi leur permettait également de changer de méthode et d’opter pour une attaque plus violente et potentiellement dévastatrice. S'ils avaient lancé une attaque de ransomwares à la place, on peut supposer qu'elle se serait avéré coûteuse pour de nombreuses entreprises. 

Il y a toujours un compromis à faire entre le prix et la sécurité pour les professionnels de l'informatique, mais avec la sophistication croissante des attaques de malwares, les entreprises doivent repenser leur stratégie et leurs priorités en matière de protection des données pour s'assurer d'avoir une solution en place qui peut atténuer ce type d'attaque et si nécessaire permettre une reprise rapide et efficace.