Les pirates informatiques utilisent des ransomwares pour s’en prendre à tous les secteurs et rendre l’accès aux fichiers d’une victime. C’est une activité lucrative. Au cours des six premiers mois de 2023, des gangs de ransomwares, même si la plupart des gouvernements. De plus en plus, les professionnels de la sécurité s’associent aux forces de l’ordre pour fournir des outils de décryptage gratuits, libérant ainsi les fichiers verrouillés et éliminant la tentation des victimes de s’en emparer.
Les décrypteurs de ransomwares disposent de plusieurs méthodes principales pour créer des outils : l’ingénierie inverse pour détecter les erreurs, la collaboration avec les forces de l’ordre et la collecte de clés de chiffrement accessibles au public. La durée du processus varie en fonction de la complexité du code, mais il nécessite généralement des informations sur les fichiers cryptés, les versions non cryptées des fichiers et des informations sur le serveur provenant du groupe de piratage. « Le simple fait que le fichier de sortie soit crypté est généralement inutile. Vous avez besoin de l’échantillon lui-même, du fichier exécutable », a déclaré Jakub Kroustek, directeur de la recherche sur les logiciels malveillants chez la société antivirus Avast. Ce n’est pas facile, mais cela rapporte des dividendes aux victimes touchées lorsque cela fonctionne.
Tout d’abord, nous devons comprendre comment fonctionne le cryptage. Pour un exemple très basique, disons qu’une donnée peut avoir commencé comme une phrase reconnaissable, mais apparaît comme « J qsfgfs dbut up epht » une fois qu’elle a été chiffrée. Si nous savons que l’un des mots non chiffrés dans « J qsfgfs dbut up epht » est censé être « chats », nous pouvons commencer à déterminer quel modèle a été appliqué au texte original pour obtenir le résultat chiffré. Dans ce cas, il s’agit simplement de l’alphabet anglais standard, chaque lettre étant avancée d’une place : A devient B, B devient C et « Je préfère les chats aux chiens » devient la chaîne d’absurdités ci-dessus. C’est beaucoup plus complexe pour les types de cryptage utilisés par les gangs de ransomwares, mais le principe reste le même. Le modèle de cryptage est également connu sous le nom de « clé », et en déduisant la clé, les chercheurs peuvent créer un outil capable de décrypter les fichiers.
Certaines formes de cryptage, comme la norme Advanced Encryption Standard de 128, 192 ou 256 bits, sont pratiquement incassables. À son niveau le plus avancé, des bits de données « en clair » non chiffrés, divisés en morceaux appelés « blocs », sont soumis à 14 cycles de transformation, puis émis sous leur forme chiffrée – ou « texte chiffré ». « Nous ne disposons pas encore de la technologie informatique quantique capable de briser la technologie de chiffrement », a déclaré Jon Clay, vice-président du renseignement sur les menaces chez la société de logiciels de sécurité Trend Micro. Mais heureusement pour les victimes, les pirates n’utilisent pas toujours des méthodes puissantes comme AES pour chiffrer les fichiers.
Bien que certains systèmes cryptographiques soient pratiquement incassables, les pirates informatiques inexpérimentés commettront probablement des erreurs. Si les pirates n’appliquent pas un système standard, comme AES, et choisissent plutôt de créer le leur, les chercheurs peuvent alors rechercher des erreurs. Pourquoi feraient-ils cela ? Surtout l’ego. « Ils veulent faire quelque chose eux-mêmes parce qu’ils l’aiment ou parce qu’ils pensent que c’est mieux pour des raisons de rapidité », a déclaré Jornt van der Wiel, chercheur en cybersécurité chez Kaspersky.
Par exemple, voici comment Kaspersky a décrypté la souche du ransomware. Il s’agissait d’une souche ciblée visant des entreprises spécifiques, avec une liste de victimes inconnue. Yanluowang a utilisé le chiffrement de flux Sosemanuk pour chiffrer les données : un processus gratuit qui chiffre le fichier en texte brut un chiffre à la fois. Ensuite, il a chiffré la clé à l’aide d’un algorithme RSA, un autre type de norme de chiffrement. Mais il y avait un défaut dans le modèle. Les chercheurs ont pu comparer le texte brut à la version cryptée, comme expliqué ci-dessus, et procéder à l’ingénierie inverse d’un outil de décryptage. En fait, il y en a des tonnes qui en ont.
Les décrypteurs de ransomware utiliseront leurs connaissances en génie logiciel et en cryptographie pour obtenir la clé du ransomware et, à partir de là, créeront un outil de décryptage, selon Kroustek. Les processus cryptographiques plus avancés peuvent nécessiter soit un forçage brutal, soit des suppositions éclairées basées sur les informations disponibles. Parfois, les pirates utilisent un générateur de nombres pseudo-aléatoires pour créer la clé. Un vrai RNG sera aléatoire, mais cela signifie qu’il ne sera pas facile à prédire. Un pseudo-RNG, comme l’explique van der Wiel, peut s’appuyer sur un modèle existant pour apparaître aléatoire alors qu’il ne l’est pas en réalité – le modèle peut être basé sur l’heure à laquelle il a été créé, par exemple. Si les chercheurs en connaissent une partie, ils peuvent essayer différentes valeurs de temps jusqu’à ce qu’ils en déduisent la clé.
Mais pour obtenir cette clé, il faut souvent travailler avec les forces de l’ordre pour obtenir plus d’informations sur le fonctionnement des groupes de piratage. Si les chercheurs parviennent à obtenir l’adresse IP du pirate informatique, ils peuvent demander à la police locale de saisir les serveurs et d’obtenir un vidage mémoire de leur contenu. Ou, si les pirates ont utilisé un serveur proxy pour masquer leur emplacement, la police peut utiliser des analyseurs de trafic comme NetFlow pour déterminer où va le trafic et obtenir les informations à partir de là, selon van der Wiel. Cela rend cela possible au-delà des frontières internationales car il permet à la police de demander de toute urgence une image d’un serveur dans un autre pays en attendant que la demande officielle soit acceptée.
Le serveur fournit des informations sur les activités du pirate informatique, comme les personnes qu’il pourrait cibler ou la procédure à suivre pour extorquer une rançon. Cela peut indiquer aux décrypteurs de ransomwares le processus suivi par les pirates informatiques pour chiffrer les données, des détails sur la clé de chiffrement ou l’accès aux fichiers qui peuvent les aider à procéder à une ingénierie inverse du processus. Les chercheurs parcourent les journaux du serveur pour obtenir des détails de la même manière que vous pouvez aider votre ami à trouver des détails sur sa date Tinder pour s’assurer qu’il est légitime, à la recherche d’indices ou de détails sur des modèles malveillants qui peuvent aider à découvrir de véritables intentions. Les chercheurs peuvent, par exemple, découvrir une partie du fichier en texte brut à comparer au fichier crypté pour commencer le processus de rétro-ingénierie de la clé, ou peut-être trouveront-ils des parties du pseudo-RNG qui peuvent commencer à expliquer le modèle de cryptage.
Travailler avec la création d’un outil de décryptage pour le ransomware Babuk Tortilla. Cette version du ransomware ciblait les infrastructures de santé, de fabrication et nationales, chiffrant les appareils des victimes et supprimant les sauvegardes précieuses. Avast avait déjà créé un décrypteur générique Babuk, mais la souche Tortilla s’est avérée difficile à déchiffrer. La police néerlandaise et Cisco Talos ont travaillé ensemble pour appréhender la personne à l’origine de la souche et ont ainsi eu accès au décrypteur Tortilla.
Mais souvent, le moyen le plus simple de proposer ces outils de décryptage provient des gangs de ransomwares eux-mêmes. Peut-être qu’ils prennent leur retraite, ou qu’ils se sentent simplement généreux, mais les attaquants le feront parfois. Les experts en sécurité peuvent ensuite utiliser la clé pour créer un outil de décryptage et le publier pour que les victimes puissent l’utiliser à l’avenir.
En général, les experts ne peuvent pas parler beaucoup du processus sans donner un coup de pouce aux gangs de ransomwares. S’ils divulguent des erreurs courantes, les pirates peuvent s’en servir pour améliorer facilement leurs prochaines tentatives de ransomware. Si les chercheurs nous disent sur quels fichiers cryptés ils travaillent actuellement, les gangs sauront qu’ils les traquent. Mais la meilleure façon d’éviter de payer est d’être proactif. « Si vous avez fait un bon travail de sauvegarde de vos données, vous avez de bien meilleures chances de ne pas avoir à payer », a déclaré Clay.