Après les ransomwares pour les machines clientes, voici ceux destinés aux serveurs. Une variante de CTB-Locker s’attaque à ces derniers et exige des administrateurs une rançon pour leur rendre le contrôle. Et les auteurs font tout pour prouver que le paiement débloquera la situation.
Les ransomwares sont un type de malware très particulier. Une fois installé sur une machine, il en chiffre le contenu pour priver l’utilisateur de ses données. Il lui est demandé de payer une rançon sous peine de ne jamais revoir ses documents et contenus personnels. Les auteurs de ransomwares tachent généralement de donner la clé de déchiffrement une fois le paiement effectué, mais ce n’est jamais une garantie.
CTB-Locker s'attaque maintenant aux serveurs web
Jusqu’à présent, ces malwares s’attaquaient essentiellement à des machines clientes. Ils s’installent comme d’autres bestioles numériques à travers diverses techniques, dont le phishing et l’exploitation de failles de sécurité via des pages web spécialement conçues. L’internaute peu méfiant est alors piégé. Si les serveurs avaient été relativement épargnés jusque-là, une variante de CTB-Locker tente actuellement de rétablir la parité.
« CTB-Locker for Websites » s’attaque aux serveurs web, selon la société de sécurité Bleeping Computer, qui avait déjà analysé la version 4.0 de Cryptowall, un autre ransomware. Pour mener à bien sa sinistre besogne, il chiffre les données sur le serveur (AES-256) et remplace la page index.html ou index.php par une autre page, expliquant aux administrateurs ce qui vient de se passer. CTB-Locker promet de rendre les informations si une rançon de 0,4 bitcoin est envoyée vers une adresse particulière.
Les pirates veulent prouver qu'ils sont de bonne foi
Cette version du ransomware pour les serveurs web joue à fond la carte de la psychologie : tout est fait pour amener la ou les victimes à coopérer et à payer. À commencer par la somme demandée : 0,4 bitcoin représente moins de 200 dollars. Une somme faible qui a nettement plus de chances d’être payée que dans ce cas de certaines contaminations qui demandent 10 000 ou 20 000 dollars/euros.
La petite somme est accompagnée de deux outils qui doivent encore persuader les victimes qu’elles peuvent avoir confiance dans le retour de leurs données si elles montrent patte blanche. D’une part, une fenêtre spécifique permet d’engager le dialogue avec les pirates pour leur poser des questions. Et non seulement les pirates répondent, mais les administrateurs touchés peuvent communiquer en anglais, français, italien et autres.
Transparence et clé de test
D’autre part, CTB-Locker fournit deux clés. La première peut être utilisée pour déchiffrer deux fichiers pris au hasard, les administrateurs en récupérant le contrôle. Pourquoi une telle action ? Pour prouver aux victimes, une fois de plus, que les pirates tiendront parole et qu’ils peuvent bien redonner accès aux contenus. La deuxième clé servira pour déchiffrer le reste des fichiers, une fois le paiement effectué.
Comme si ces marques de « bonne volonté » ne suffisaient pas, le ransomware crée un certain nombre de fichiers texte une fois le chiffrement terminé. L’un contient par exemple le listing complet de tous les fichiers concernés. Un autre donne par avance les noms de ceux sélectionnés au hasard pour servir de preuves avec la clé précédemment citée. Un autre encore indique les extensions de fichiers visées par le ransomware.
Une centaine de serveurs infectés
Selon Bleeping Computer, CTB-Locker for Websites a déjà contaminé plus d’une centaine de serveurs web. La société invite les administrateurs à redoubler de vigilance sur les outils installés et sur la surveillance des failles de sécurité à colmater. Cette version a beau être une variante d’un ancien malware datant de 2014, il n’en reste pas moins dangereux.
Ce ransomware illustre quoi qu’il en soit la tendance suivie par ce type de logiciel malveillant. L’aspect psychologique se développe progressivement au point que l’on pourrait presque parler de syndrome de Stockholm : les pirates se présentent comme des personnes de confiance. Prouver qu’ils sont capables de déverrouiller les fichiers comme annoncé devient une composante primordiale. On retrouve d’ailleurs en filigrane l’avis du FBI sur la question : les pirates souhaitant s’enrichir ont tout intérêt à tenir parole pour que les victimes gardent confiance.
Bleeping Computer cite également de la variante Windows du ransomware classique. La dernière révision dispose en effet d’un certificat électronique dérobé. Même si la signature peut être révoquée, le malware gagne en dangerosité puisqu’il ne déclenche pas d’alerte « orange » avec le contrôle des comptes sous Windows.
