Le 31 mai 2019, les cybercriminels à l'origine du ransomware GandCrab ont fait quelque chose d'inhabituel dans le monde des malwares. Ils ont annoncé qu' ils mettaient fin à leurs activités et laissaient potentiellement des millions de dollars sur la table.
"Toutes les bonnes choses ont une fin", ont-ils écrit dans un message d'autosatisfaction publié sur un célèbre forum de cybercriminalité. Depuis son lancement en janvier 2018, les auteurs de GandCrab ont affirmé avoir rapporté plus de 2 milliards de dollars en paiements illicites de rançons et qu'il était temps "de prendre une retraite bien méritée".
"Nous avons réussi à encaisser cet argent et à le légaliser dans diverses sphères de l'économie blanche, tant dans la vie réelle que sur l'internet", poursuit le message. "Nous avons prouvé qu'en faisant de mauvaises actions, la rétribution ne vient pas".
Les partenaires affiliés, qui ont contribué à la diffusion du ransomware en échange d'une partie des bénéfices, ont été encouragés à cesser leurs activités, tandis que les victimes ont été invitées à payer maintenant ou à perdre à jamais leurs données cryptées.
Le message se termine par un remerciement lapidaire à tous les membres de la communauté des affiliés pour "leur travail acharné".
Bien qu'il s'agisse d'une vantardise divertissante, plusieurs questions restent sans réponse. Les créateurs de GandCrab ont-ils réellement gagné autant d'argent qu'ils le prétendent ? Qui sont ces gens et sont-ils vraiment en train de prendre leur retraite ? Plus important encore, le ransomware GandCrab constitue-t-il toujours une menace pour les consommateurs ?
Dans cet article, nous tenterons de répondre à toutes ces questions persistantes, de fournir des ressources aux victimes et de mettre un point final à l'histoire de GandCrab.f.
Qu'est-ce que GandCrab ?
Observé pour la première fois en janvier 2018, le ransomware GandCrab est un type de logiciel malveillant qui crypte les fichiers des victimes et exige le paiement d'une rançon pour retrouver l'accès à leurs données. GandCrab cible les consommateurs et les entreprises équipés de PC fonctionnant sous Microsoft Windows.
En évoquant une maladie sexuellement transmissible, on pourrait penser qu'un nom comme "GandCrab" a quelque chose à voir avec la nature infectieuse du ransomware et sa propension à se propager dans les réseaux d'entreprise. Cependant, selon ZDNet, le nom de GandCrab pourrait provenir de l'un de ses créateurs qui se fait appeler "Crab" ou "Gandcrab" en ligne.
GandCrab n'infecte pas les machines en Russie ou dans l'ex-Union soviétique, ce qui indique clairement que l'auteur ou les auteurs sont basés dans la région. On ne sait pas grand-chose d'autre sur l'équipe de GandCrab.
GandCrab suit un modèle commercial de marketing d'affiliation, appelé Ransomware-as-a-Service (RaaS), dans lequel des cybercriminels de bas niveau se chargent de trouver de nouvelles victimes tandis que les auteurs de la menace sont libres de bricoler et d'améliorer leur création.
Les entreprises légitimes utilisent constamment des modèles d'affiliation, notamment Amazon. Supposons par exemple que vous ayez un blog sur lequel vous donnez votre avis sur des produits électroniques (écouteurs, smartphones, ordinateurs portables, ordinateurs, etc. Chaque article comporte un lien unique qui permet aux visiteurs d'acheter l'article en question sur Amazon. En échange de l'envoi du client sur Amazon, vous percevez un pourcentage sur le site purchase price.
Dans le cas de GandCrab, les auteurs de la menace mettent leur technologie à la disposition d'autres cybercriminels entreprenants (les affiliés). A partir de là, c'est aux affiliés de trouver de nouveaux clients (c'est-à-dire des victimes). Les rançons payées sont partagées entre l'affilié et l'équipe de GandCrab à raison de 60/40, voire 70/30 pour les meilleurs affiliés.
Le journaliste Brian Krebs, spécialiste de la cybersécurité, rapporte qu'un des meilleurs a gagné 125 000 dollars de commissions en l'espace d'un mois.
Grâce au modèle d'affiliation, les criminels disposant d'un savoir-faire technique limité peuvent prendre part à l'action du ransomware. Les criminels de bas niveau étant chargés de trouver et d'infecter les machines, les créateurs de GandCrab peuvent se concentrer sur la révision de leur logiciel, l'ajout de nouvelles fonctionnalités et l'amélioration de sa technologie chiffrement . Au total, il existe cinq versions différentes de GandCrab.
Lors de l'infection, des notes de rançon sont placées en évidence sur l'ordinateur de la victime, l'orientant vers un site web sur le réseau Internet. Dark Web (la partie cachée du web qu'il faut un navigateur spécial pour voir).
En arrivant sur la version anglaise du site, les victimes voient apparaître le message "WELCOME ! WE ARE REGRET, BUT ALL YOUR FILES WAS INFECTED !" (NOUS SOMMES DÉSOLÉS, MAIS TOUS VOS FICHIERS ONT ÉTÉ INFECTÉS).
Les versions ultérieures du site web du rançongiciel présentent M. Krabs de l'émission d'animation pour enfants "Spongebob Square Pants". Apparemment, les cybercriminels ne s'inquiètent pas trop des violations de droits d'auteur.
Pour apaiser les craintes de paiement de la rançon, GandCrab permet aux victimes de décrypter gratuitement un fichier de leur choix.
Les paiements de GandCrab sont effectués par le biais d'une obscure crypto-monnaie appelée Dash, appréciéepar les cybercriminels pour l'extrême importance qu'elle accorde à la protection de la vie privée. Les demandes de rançon sont fixées par l'affilié, mais se situent généralement entre 600 et 600 000 dollars. Une fois le paiement effectué, les victimes peuvent immédiatement télécharger le décrypteur GandCrab et retrouver l'accès à leurs fichiers.
Si les victimes ont des difficultés à payer la rançon ou à télécharger l'outil de décryptage, GandCrab propose un service de chat en ligne gratuit 24 heures sur 24 et 7 jours sur 7.
"GandCrab suit un modèle commercial de marketing d'affiliation, appelé Ransomware-as-a-Service (RaaS), dans lequel des cybercriminels de bas niveau se chargent de trouver de nouvelles victimes tandis que les auteurs de la menace sont libres de bricoler et d'améliorer leur création."
Quelle est l'histoire de GandCrab ?
Il ne faut pas croire que les ransomwares sont une invention récente. En fait, toutes les formes de ransomware, y compris GandCrab, suivent un modèle de base établi il y a trente ans par une première forme de virus informatique.
Le premier proto-ransomware est arrivé en 1989, littéralement dans les boîtes aux lettres des victimes. Connu sous le nom de virus informatique du SIDA, celui-ci s'est propagé par le biais d'une disquette de 5,25 pouces envoyée aux victimes par courrier postal. Cette disquette, intitulée "Information sur le SIDA", contenait un bref questionnaire destiné à mesurer le risque de contracter le virus du SIDA (le virus biologique).
Le chargement de l'enquête déclenchait le virus, qui restait ensuite en sommeil pendant les 89 démarrages suivants. Au 90e démarrage de leur ordinateur, les victimes voyaient apparaître à l'écran une notification leur demandant de payer "votre location de logiciel". Si les victimes essayaient d'accéder à leurs fichiers, elles s'apercevaient que tous les noms de fichiers avaient été brouillés.
Les paiements de rançon devaient être envoyés à une boîte postale au Panama et, en retour, les victimes recevaient un "logiciel de renouvellement" qui inversait la quasichiffrement.
Le mode opératoire de GandCrab et d'autres menaces modernes de ransomware reste relativement inchangé depuis l'époque du virus informatique du SIDA. La seule différence est que les cybercriminels d'aujourd'hui disposent d'un vaste arsenal de technologies advanced pour cibler, infecter et victimiser les consommateurs.
Observé pour la première fois en janvier 2018, GandCrab s'est propagé par le biais de publicités malveillantes ( malvertising) et de faux pop-ups diffusés par des sites web compromis. Lorsqu'elles arrivaient sur un site malveillant, les victimes recevaient une alerte à l'écran les invitant à télécharger une police manquante. Ce faisant, le ransomware s'installait.
Parallèlement à la campagne d'infection des polices de caractères, GandCrab s'est également propagé par le biais de pièces jointes de courrier électronique chargées de malwares (appelées " malspam"), envoyées par un botnet d'ordinateurs piratés (les botnets sont également utilisés pour les attaques DDoS ). Dans un exemple classique d'ingénierie sociale, ces courriels avaient pour objet "Facture impayée n°XXX". Motivées par la peur, la curiosité ou l'appât du gain, les victimes ouvraient l'e-mail et la "facture" jointe, chargée de malwares.
Cependant, pendant la majeure partie de sa courte période d'activité destructrice, GandCrab s'est généralement propagé d'un ordinateur à l'autre par l'intermédiaire d'un kit d'exploitation. Les exploits sont une forme de cyberattaque qui exploite les faiblesses ou les vulnérabilités d'un système cible afin d'obtenir un accès non autorisé à ce système. Un kit d'exploitation est un ensemble prêt à l'emploi de diverses technologies conçues pour tirer parti d'un ou de plusieurs exploits.
L'équipe Malwarebytes Labs a signalé l'utilisation d'au moins quatre kits d'exploitation différents pour propager GandCrab :
- Le ransomware GandCrab distribué par les kits d'exploitation RIG et GrandSoft (mise à jour)
- Vidar et GandCrab : un voleur et un ransomware combinés observés dans la nature
- Le kit d'exploitation Magnitude passe au ransomware GandCrab
En février 2018, un mois après que GandCrab ait été repéré pour la première fois dans la nature, la société de cybersécurité Bitdefender a publié un outil de décryptage gratuit de GandCrab. Cela a incité les auteurs de GandCrab à publier une nouvelle version de leur ransomware avec une nouvelle technologie chiffrement . La nouvelle version de l'outil de décryptage fonctionne actuellement avec les versions 1, 4, 5.01 et 5.2 de GandCrab. A ce jour, aucun outil de décryptage gratuit n'est disponible pour les versions 2 et 3 de GandCrab.
En octobre 2018, une victime de la guerre civile syrienne a qualifié les créateurs de GandCrab de "sans cœur" pour avoir crypté les photos de ses enfants décédés. En réponse, l'équipe de GandCrab a publié la clé de décryptage pour toutes les victimes de GandCrab situées en Syrie et a ajouté la Syrie à la liste des pays non ciblés par le ransomware GandCrab.
En janvier 2019, des affiliés ont été aperçus pour la première fois en train d'utiliser ce que l'on appelle une attaque par protocole de bureau à distance (RDP). Dans ce type d'attaque, les auteurs recherchent sur un réseau donné des systèmes configurés pour l'accès à distance, c'est-à-dire un système auquel un utilisateur ou un administrateur peut se connecter et qu'il peut contrôler à partir d'un autre endroit. Une fois que les attaquants ont trouvé un système configuré pour l'accès à distance, ils tentent de deviner les identifiants de connexion à l'aide d'une liste de noms d'utilisateur et de mots de passe courants (ce qu'on appelle une attaque par force brute ou par dictionnaire).
Au même moment, les affiliés de GandCrab ont profité d'une saison grippale longue et sévère (21 semaines) pour diffuser le ransomware par le biais d'e-mails de phishing censés provenir des Centres de contrôle et de prévention des maladies (CDC) et portant l'objet "Flu pandemic warning" (alerte à la pandémie de grippe). L'ouverture du document Word joint, chargé de malwares, déclenche l'infection par le ransomware.
Grâce à son armée d'affiliés, à sa méthodologie d'attaque diversifiée et aux révisions régulières de son code, GandCrab est rapidement devenu la détection de ransomware la plus courante parmi les cibles professionnelles et grand public en 2018, comme l'indique lerapport Malwarebytes Labs State of Malware.
Malgré son succès, ou peut-être à cause de celui-ci, GandCrab a tiré sa révérence en mai 2019, un an et demi après son lancement. Les chercheurs en cybersécurité ont avancé un certain nombre de théories pour expliquer cette décision.
GandCrab n'a pas eu le succès escompté par ses créateurs. Nous ne savons pas vraiment combien d'argent l'équipe de GandCrab a gagné. Le chiffre de 2 milliards de dollars qu'ils annoncent pourrait être exagéré, et voici pourquoi : Des chercheurs en cybersécurité ont développé des outils gratuits de décryptage de GandCrab pour les versions précédentes du ransomware. À peine deux semaines après que l'équipe de GandCrab a annoncé qu'elle se retirait, les chercheurs de Bitdefender ont publié un dernier outil de décryptage capable de décrypter la dernière version de GandCrab. Grâce à la sensibilisation du public aux outils de décryptage gratuits, de plus en plus de victimes potentielles évitent de payer une éventuelle rançon.
L'équipe de GandCrab continuera à produire des ransomwares ou d'autres malwares sous un autre nom. En annonçant la cessation de ses activités, l'équipe de GandCrab est libre de tourmenter le monde avec de nouvelles menaces sournoises, en dehors de l'œil vigilant des chercheurs en cybersécurité et des forces de l'ordre. En effet, les chercheurs en cybersécurité de Malwarebytes ont signalé une nouvelle souche de ransomware qui ressemblait visiblement à GandCrab.
Connu sous le nom de Sodinokibi (alias Sodin, alias REvil), ce ransomware a été repéré dans la nature près de deux mois après l'abandon de GandCrab et les chercheurs ont immédiatement établi une comparaison avec le défunt ransomware. Pour l'instant, rien ne permet d'affirmer que l'équipe de GandCrab est à l'origine de Sodinokibi, mais il y a fort à parier que c'est le cas.
Pour commencer, Sodinokibi suit le même modèle de ransomware en tant que service: l'équipe de GandCrab possède et soutient le logiciel, permettant à tout cybercriminel potentiel de l'utiliser en échange d'une part des bénéfices.
Sodinokibi suit le même processus de mise à jour itératif que GandCrab. A ce jour, il existe six versions de Sodinokibi.
Sodinokibi utilise certains des mêmes vecteurs d'infection, à savoir des kits d'exploitation et des pièces jointes malveillantes. Cependant, les criminels derrière Sodinokibi ont commencé à utiliser des fournisseurs de services gérés (MSP) pour propager les infections. En août 2019, des centaines de cabinets dentaires à travers le pays ont constaté qu'ils ne pouvaient plus accéder aux dossiers de leurs patients. Les attaquants ont utilisé un MSP compromis, dans ce cas une société de logiciels de dossiers médicaux, pour déployer le ransomware Sodinokibi dans les cabinets dentaires utilisant le logiciel de tenue de dossiers.
Enfin, la note de rançon et le site de paiement de Sodinokibi ressemblent à s'y méprendre à ceux de GandCrab.
Comment se protéger de GandCrab
Bien que l'équipe de Malwarebytes Data Sciences rapporte que les détections de GandCrab sont en forte baisse, nous devons toujours faire face à Sodinokibi et à d'autres souches de ransomware. Ceci étant dit, voici comment vous protéger de GandCrab et d'autres ransomwares.
- Sauvegardez vos fichiers. Avec des sauvegardes régulières, une infection par un ransomware devient un inconvénient mineur, bien que gênant. Il vous suffit d'effacer et de restaurer votre système et de reprendre votre vie en main.
- Méfiez-vous des pièces jointes et des liens contenus dans les courriels. Si vous recevez un courriel d'un ami, d'un membre de votre famille ou d'un collègue et qu'il vous semble bizarre, réfléchissez-y à deux fois. Si l'e-mail provient d'une entreprise avec laquelle vous faites affaire, essayez de naviguer vers le site web de l'entreprise ou, le cas échéant, utilisez l'application.
- Apportez régulièrement des correctifs et des mises à jour. En gardant votre système à jour, vous empêcherez les attaquants de profiter des exploits qui peuvent être utilisés pour obtenir un accès non autorisé à votre ordinateur. Les exploits, comme vous vous en souvenez peut-être, sont la principale méthode utilisée par GandCrab pour infecter les systèmes cibles. De même, si votre ordinateur contient des logiciels anciens et obsolètes que vous n'utilisez plus, supprimez-les.
- Limiter l'accès à distance. La meilleure façon de se protéger contre une attaque RDP (Remote Desktop Protocol) est de limiter l'accès à distance. Demandez-vous s'il est vraiment nécessaire d'accéder à ce système à distance. Si la réponse est oui, limitez au moins l'accès aux utilisateurs qui en ont vraiment besoin. Mieux encore, mettez en place un réseau privé virtuel (VPN) pour tous les utilisateurs distants, ce qui annulera toute possibilité d'attaque par le protocole RDP.
- Utilisez des mots de passe forts et ne les réutilisez pas d'un site à l'autre. S'il est absolument nécessaire d'accéder à un système à distance, veillez à utiliser un mot de passe fort avec une authentification multifactorielle. Il est vrai que se souvenir de mots de passe uniques pour tous les sites et applications que vous utilisez est une tâche difficile, voire impossible. Heureusement, un gestionnaire de mots de passe peut le faire pour vous.
- Utilisez un logiciel de cybersécurité. Par exemple, Malwarebytes Premium pour Windows bloque les chevaux de Troie, les virus, les téléchargements malveillants, les mauvais liens et les sites Web usurpés, de sorte que les ransomwares, comme GandCrab, et autres infections par des malwares ne puissent jamais s'implanter dans votre système.
Comment supprimer GandCrab
Si vous avez déjà été victime de GandCrab, il est fort probable que vous n'ayez pas à payer la rançon. Suivez plutôt les étapes suivantes pour supprimer GandCrab de votre PC.
- Afficher les extensions de fichiers dans Windows Par défaut, Microsoft Windows cache les extensions de fichiers (comme .exe et .doc) et vous devez voir ces extensions avant de passer à la deuxième étape. En bref, ouvrez l'Explorateur de fichiers, cliquez sur l'onglet Affichage, puis cochez la case Extensions de nom de fichier.
- Déterminer la version de GandCrab. Maintenant que vous pouvez voir les extensions de fichiers, vous pouvez déterminer la version de GandCrab que vous avez en vérifiant les extensions de vos fichiers cryptés.
- GandCrab version 1 donne l'extension .gdcb.
- Les versions 2 et 3 de GandCrab portent l'extension .crab.
- GandCrab version 4 utilise l'extension .krab.
- GandCrab version 5 donne une extension aléatoire de 5 lettres.