Le rançongiciel Avaddon, apparu au début du mois de juin 2020, fait l’objet de campagnes d’email massives. Les victimes devront se connecter à un site de paiement si elles veulent retrouver leurs données.

Avec un simple smiley, les hackers espèrent que leurs victimes vont télécharger leur tout nouveau rançongiciel, Avaddon. Dernier arrivé dans cette famille florissante — plus de 860 rançongiciels ont été recensés à ce jour –, Avaddon vise le grand public avec des campagnes d’email massives envoyées aux quatre coins du monde, d’après un rapport de l’équipe de recherche de Zix/AppRiver. Les chercheurs datent son apparition au début du mois de juin 2020, et ils ont déjà bloqué plus de 300 000 emails.

Une fois qu’une des cibles a téléchargé la pièce jointe, elle installe sans le savoir un rançongiciel qui va chiffrer ses fichiers : tous les documents de l’ordinateur de la victime deviennent alors illisibles. Les pirates en profitent pour laisser une note sur la démarche à adopter pour récupérer les données. Ils exigent que la victime aille sur leur site, et paye une rançon de plusieurs centaines (voire milliers) d’euros (à payer en bitcoin)

mp3-ua.png

Le site des rançonneurs est accessible en 8 langues, dont le français. // Source : AppRiver

« Tu aimes ma photo ? »

Avaddon se distingue par la simplicité de son email de phishing. L’objet de l’email varie entre « tu aimes ma photo ? » et « ta nouvelle photo ? », traduit dans différentes langues. Dans le corps du texte, on retrouve juste un smiley : « ;) » ou « :) ».

Une campagne de phishing utilisait déjà ce mode opératoire en février, toujours pour distribuer un rançongiciel. En se passant du texte, les hackers évitent des erreurs de traduction ou de grammaire qui pourraient révéler leur supercherie.

Les victimes dirigées vers un site de paiement

Mais les cybercriminels d’Avaddon ajoutent une subtilité qui aiguise l’efficacité de leur hameçonnage : ils déguisent leur fichier malveillant (un JavaScript qui téléchargera le rançongiciel) en fichier .jpg, un des formats d’image les plus répandus. Puisqu’il est possible de cacher le nom de la véritable extension (un .js) à l’affichage sur Windows, l’utilisateur peu averti pourrait ne pas voir la supercherie. Les victimes cliqueront sur un fichier qui aura un nom de la forme « IMG21398.jpg ».

Une fois les données chiffrées, le logiciel laisse une note « [id]-readme.html » dans chaque dossier. Elle contient un lien vers le site de paiement sur Tor et un identifiant de victime unique pour s’y connecter.

La victime découvrira le montant à payer en se connectant au site. Elle aura accès à un chat d’assistance pour poser ses questions, une page d’aide sur la démarche à adopter et elle pourra demander un test de déchiffrement (qui sert à prouver que les hackers peuvent réparer leur méfait).

Des partenaires en charge de distribuer Avaddon

D’après le Bleeping Computer, Avaddon recrute encore des hackers pour distribuer son rançongiciel le plus massivement possible. Ses développeurs en font la publicité sur les forums de hackers Russes, avec un modèle économique particulier : l’affiliation.

Les opérateurs d’Avaddon prennent en charge le développement de leur malware et le fonctionnement du site de paiement, mais ils délèguent sa distribution à des affiliés. Ces derniers doivent respecter certaines règles (comme ne pas s’en prendre aux pays de la sphère d’influence russe) pour être sélectionnés. Ils pourront ensuite utiliser la méthode de leur choix (phishing, exploitation de vulnérabilités…) pour distribuer le rançongiciel.

Si leur manœuvre aboutit à un paiement de la rançon, les opérateurs d’Avaddon garderont 35% du montant et donneront les 65% restants au partenaire qui a piégé la victime. Et il se pourrait qu’elles soient nombreuses à payer : d’après le créateur du site de référence ID-ransomware, le chiffrement du rançongiciel n’est pas cassable.

une comparateur meilleur gestionnaire mdp numerama

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !