Un groupe de chercheurs a identifié un programme de ransomware se faisant passer pour un produit de Sophos, une société de cybersécurité.
Si le ransomware en question n'est pas particulièrement original ni de grande qualité, adopter le nom d'une entreprise de cybersécurité lui aura tout de même permis, pendant un temps, de tromper des professionnels en la matière. Mais c'est bien sa seule particularité, le ransomware en tant que service étant un marché juteux, et apparemment en pleine expansion.
Se faire passer pour une solution de cybersécurité, original
Le 17 juillet, le compte Twitter MalwareHunterTeam tweete des captures d'écran de l'exécution d'un ransomware. Celui-ci n'est pas particulièrement exceptionnel si ce n'est, comme le fait remarquer le tweet, son nom. En effet, les fenêtres qui s'ouvrent à son exécution sont ainsi nommées « Encryption Program - SOPHOS ». Sauf que Sophos, justement, est une entreprise de cybersécurité, dont le compte a d'ailleurs répondu qu'il s'agissait bien d'un malware avec lequel elle n'avait rien à voir.
Il n'est pas très difficile de deviner l'intérêt d'une telle appellation : inspirer davantage confiance aux victimes potentielles, bien sûr, mais aussi en retarder la découverte. Car en effet, les membres de Malware Hunter Team ont d'abord pensé qu'il s'agissait bel et bien d'un programme créé par Sophos en tant qu'exercice.
Selon eux d'ailleurs, ce ransomware n'est pas un programme d'excellente qualité. Son fonctionnement est assez classique : quand le programme est exécuté, ses auteurs peuvent tenter d'encrypter quelques documents ou l'intégralité du support infecté. Lorsque le processus est terminé, un document de demande de rançon est créé dans chaque dossier concerné, et celle-ci s'ouvre automatiquement à la complétion. Expliquant que les documents ont été encryptés « pour des raisons de sécurité », cette note détaille ensuite les moyens de se procurer des bitcoins et met la pression sur la victime pour réagir le plus vite possible.
Mais Sophos a expliqué que le programme était déjà bloqué par ses solutions avant même qu'ils en aient eux-mêmes connaissance.
Le marché des ransomware en tant que service a le vent en poupe
Sans trop de surprise non plus, Sophos Encrypt est un « Ransomware as a service », c'est-à-dire un programme qui n'est pas forcément utilisé par ses propres créateurs. Ceux-ci préfèrent le mettre à disposition d'autres personnes, fournissant ainsi une solution clé en main, contre un paiement.
Les ransomwares représenteraient aujourd'hui 24 % des attaques informatiques et, devant un tel succès, il n'était guère étonnant que le processus donne des idées à ceux qui veulent l'industrialiser. Cela rend ce type d'attaque infiniment plus accessible, y compris pour ceux n'ayant pas de compétences particulières en la matière. Devant une telle prolifération, il n'est donc pas étonnant que certains se démarquent et imitent des programmes légitimes pour plus de succès.
C'est beau, la libre concurrence.
Sources : Bleeping Computer, Silicon
