Un nouveau mode opératoire particulièrement vicieux est peut-être en train de surgir dans le monde du rançongiciel. Les chercheurs en sécurité de MalwareHunterTeam ont mis la main sur une nouvelle version de MegaCortex, un ransomware qui a été découvert pour la première fois en mai dernier et qui cible avant tout les entreprises et organisations professionelles.
Jusqu’à présent, son fonctionnement était plutôt classique : il est installé au travers d’un cheval de Troie tel que Emotet ou Qakbot, puis il chiffre les données des stations de travail et demande une rançon.
Mais la dernière mouture ajoute quelques subtilités importantes, comme le précise BleepingComputer. Désormais, MegaCortex ne chiffre pas seulement les données, il change également le mot de passe de la machine Windows. Une fois que la session est verrouillée, l’utilisateur ne pourra donc plus s’y loguer. Mais la grande surprise se trouve dans le message de rançon. Les pirates expliquent avoir « téléchargé les données dans un espace sécurisé ». Et ils seraient prêts à publier ces données si la victime ne paie pas. En cas de paiement, les données seraient évidemment détruites.
A l’heure actuelle, on ne sait pas si cette menace est réelle ou s’il s’agit d’un bluff. Techniquement, la menace peut être appliquée. Grâce au cheval de Troie, les pirates disposent d’un accès à la machine avant l’installation du ransomware. Mais un tel transfert de données est risqué, car il peut être détecté au niveau des flux réseau, surtout si le volume est important. Il faudrait, par conséquent, que les pirates disposent d’un canal d’exfiltration suffisamment discret, donc sophistiqué.
Les sauvegardes deviendraient inutiles
Si cette menace s’avère, le cauchemar du ransomware – qui se situe déjà à un niveau très élevé – va considérablement s’intensifier. Une telle menace rendrait totalement inopérante la principale protection dont on dispose jusqu’à présent contre ces malwares, à savoir les sauvegardes de données.
L’entreprise qui décide de ne pas payer et de restaurer ses données serait confrontée à un scandale d’autant plus grand que les informations fuitées sont sensibles. Un hôpital peut difficilement risquer la publication des données de ses patients. Une banque pourrait mettre la clé sous la porte si les données financières de ses clients se retrouvaient sur la Toile. C’est inextricable.
Pour en savoir plus: