Ces ransomwares bon marché ciblent les petites entreprises ou les particuliers.
Si vous n'en pouvez plus de lire les gros titres sur des gangs prolifiques tels que LockBit, BlackCat et Cl0p, et sur la montée du ransomware-as-a-service (RaaS), vous allez être exaucés. Un nouveau marché émerge sur le dark web et pourrait bien renverser la table. Des hackers d'un nouveau genre développent et vendent des ransomwares bon marché et grossièrement construits à la pièce, plutôt que de les louer comme des RasS reposant sur l'affiliation.
Les chercheurs de Sophos ont identifié 19 variantes de ces ransomwares bas de gamme proposées à la vente pour seulement 375 dollars ou en développement sur quatre forums du dark web entre juin 2023 et février 2024. Ils les ont d'ailleurs comparés à l'émergence des « Junk Guns », ces armes bon marché, imprécises et peu fiables, dans les années 1960 et 1970, importées mais potentiellement dangereuses.
La nouvelle menace des variantes aux ransomwares-as-a-service traditionnels
Ce n'est pas parce qu'ils sont peu chers et techniquement peu sophistiqués qu'il ne faut pas s'en méfier. Bien au contraire, selon Sophos. Ces variantes de ransomwares de seconde zone sont vendues à un prix unique, ce qui offre aux attaquants une opportunité de cibler les PME, voire les particuliers, sans avoir à partager leurs bénéfices avec les créateurs du ransomware. Le prix médian de ces variantes sur le dark web était récemment de 375 dollars, soit nettement moins cher que certains kits destinés aux affiliés RaaS, qui peuvent coûter plus de 1 000 dollars. Les hackers ont déjà déployé quatre de ces variantes d'attaque. Et malgré une faible portée et une fiabilité discutables, ces ransomwares discounts ont besoin de peu ou pas d'infrastructures de support pour fonctionner, ce qui donne un coup d'avance pour ces pirates en herbe.
Ces hackers se retrouvent sur des forums anglophones du dark web destinés aux criminels de niveau inférieur, plutôt que sur des forums russophones bien établis et fréquentés par les pontes du ransomware en bande organisée. À l'ombre des grands, ces petits cybercriminels peuvent s'essayer à jouer dans la cour des grands du ransomwares sans soulever la moindre inquiétude.
Pour se faire connaître, en dehors des publicités, ils publient de nombreux articles avec des conseils et des tutoriels pour démarrer. Ils n'ont pas de grandes ambitions, ce qui les rend inoffensifs aux yeux de la communauté, mais peuvent piller plusieurs petites cibles faciles comme les PME ou les particuliers.
Un marché du ransomware discount en pleine expansion
Sur 19 variantes identifiées par Sophos, un tiers n'ont pas de nom et 5 pas encore de prix. Les tarifs des autres sont variables, avec une version de Kryptina distribuée gratuitement et une version d'Ergon annoncée pour environ 13 000 dollars. Les langages de programmation les plus populaires sont C# et .NET, et les méthodes de cryptage les plus utilisées AES-256 et RSA-2048. Quatre variantes incluent d'autres fonctionnalités, comme le vol d'informations et l'enregistrement de frappe. Il est difficile de déterminer quels ransomwares indésirables ont été utilisés pour le moment, mais Evil Extractor, Ergon, Loni et Lolicrypt ont été mentionnés.
Les analystes de Sophos étudient encore l'impact que pourraient avoir ces Junk Guns sur le marché des ransomwares : une saturation du marché actuel avec « un ransomware de plus », ou bien un véritable marché parallèle et autonome qui viendrait parasiter l'actuel.
En attendant, ils causent déjà des dégâts et donnent du fil à retordre aux petites entreprises, au grand public et aux experts en sécurité. Quand on vous dit que ce n'est pas la taille qui compte…
Sources : Security Boulevard, Sophos
