Eh oui, les cybercriminels lisent aussi la presse et les publications de recherche. Le doctorant espagnol Javier Yuste de l’université Rey Juan Carlos de Madrid retiendra la leçon, après sa mésaventure repérée par ZDNet. Le 9 février, l’étudiant a publié sur GitHub (la plateforme de dépôt de code la plus utilisée) un outil pour contrer le rançongiciel Avaddon.

Il a découvert que si la victime vidait la mémoire vive (RAM) d’un appareil infecté, elle pouvait fouiller dans son contenu pour en extirper des morceaux de la clé de chiffrement utilisée par les cybercriminels. Son outil exploite ces informations pour inverser le chiffrement appliqué par les cybercriminels.  Seul limite de la combine : elle ne fonctionne plus si les victimes ont éteint les machines infectées, car les données liées à la session disparaissent.

Un doctorant participe à renforcer un rançongiciel alors qu’il voulait aider les victimes

Un décrypteur peut faire voler en éclat le modèle économique des cybercriminels. // Source : Christoph Meinersmann/Pixabay

Javier Yuste pensait avoir bien fait : il a publié l’outil gratuitement, avec un tutoriel, et l’a rendu accessible au plus grand nombre. Grâce à lui, des victimes infectées par Avaddon ont pu récupérer leurs fichiers chiffrés. Mieux, l’outil aurait pu permettre de mettre un coup d’arrêt, au moins temporaire, à l’activité des cybercriminels.

Mais 2 jours après la publication de l’outil, les développeurs d’Avaddon ont déjà réparé la faille. Puisque le doctorant avait détaillé la vulnérabilité, les cybercriminels n’ont même pas eu besoin de la chercher pour la corriger. Autrement dit, le doctorant a participé malgré lui à une amélioration du malware, et son décrypteur n’a plus aucune utilité pour les victimes à venir d’Avaddon. Ce genre d’erreur est malheureusement récurrent : début janvier, l’entreprise BitDefender avait publié un décrypteur pour le rançongiciel Darkside, et là aussi, les malfrats s’étaient ajustés dans les jours suivants.

Le décrypteur, seule bonne échappatoire au rançongiciel

L’utilisation d’un décrypteur est, de loin, la meilleure option contre un rançongiciel, car elle permet de restaurer les données dans un délai réduit. Non seulement les victimes n’ont pas à payer la rançon — qui peut s’élever à plusieurs dizaines de millions d’euros — demandée par les cybercriminels, mais en plus, elles évitent les coûts encore plus importants liés à l’arrêt de leur production causée par le rançongiciel.

Grâce à la création de décrypteurs, certains gangs sont contraints d’arrêter leur activité, car leur modèle économique entier s’écroule. Michael Gilespie, aka demonslayer335, a développé des dizaines d’outils du genre, disponibles gratuitement sur le site du Bleeping Computer. Lorsqu’un groupe de cybercriminels prend sa retraite et publie ses clés de chiffrement, tout le monde de la cybersécurité se tourne vers lui, dans l’attente de son décrypteur. D’autres sites, comme No More Ransom, ou celui d’Emsisoft en mettent également à disposition.

Plutôt que de présenter publiquement le décrypteur, plusieurs experts du secteur conseillent de le diffuser aux victimes par des canaux privés en s’appuyant sur les entreprises de réponse à incident ou les communautés d’aide au victime. Ainsi, même si les cybercriminels prennent connaissance de l’existence d’un décrypteur, ils devront identifier eux-mêmes la vulnérabilité de leur malware. Et si les développeurs tiennent absolument à publier leur décrypteur, certains experts conseillent d’au moins ne pas divulguer les détails techniques de son fonctionnement. Reste que les malfaiteurs pourraient télécharger l’outil pour faire un travail de rétro-ingénierie et comprendre les vulnérabilités qu’il exploite.

Avaddon forcé de rassurer ses partenaires

Les développeurs d’Avaddon ont tout de même pris un coup, et ils ont dû prendre des mesures pour rassurer leurs partenaires. Concrètement, les créateurs du rançongiciel fournissent de petits groupes de hackers avec leur outil, et ces derniers se chargent d’infecter les victimes. En temps normal, les développeurs gardent entre 25 % et 35 % du montant de chaque rançon et laissent le reste à leurs partenaires.

Ces partenaires de crime peuvent travailler pour plusieurs groupes à la fois, mais ils vont généralement vers le gang qui propose les meilleurs outils et la répartition des gains la plus avantageuse. Si un décrypteur existe pour le rançongiciel qu’ils utilisent, ils n’auront aucune chance de faire payer les rançons, et ils rejoindront un gang concurrent.

La découverte du décrypteur a pu les faire douter sur la solidité d’Avaddon, et donc pour éviter qu’ils s’en aillent, les développeurs ont augmenté la répartition des gains en leur faveur : les hackers pourront garder 80 % de leurs gains pour tout le mois à venir. Ils peuvent remercier l’étudiant.