Les cyberattaques par ransomware posent des défis complexes aux victimes, souvent confrontées à la douloureuse décision de payer une rançon. Une récente expérience de GuidePoint Security avec le ransomware Hazard illustre les dangers de cette stratégie, notamment des outils de décryptage défaillants. Les enjeux et les solutions développées dans ce cas méritent une attention particulière.
En résumé : Il est généralement conseillé aux victimes d’attaques par ransomware de ne pas payer la rançon demandée par les cybercriminels. Le paiement ne garantit pas que les attaquants respecteront leur part du marché, comme par exemple l’accès aux fichiers cryptés.
GuidePoint Security a récemment joué le rôle de « négociateur » entre une société anonyme et le groupe à l’origine du ransomware Hazard. Le malware a infecté les systèmes de la victime, chiffrant des fichiers « importants » et exigeant un paiement pour les déverrouiller. La société se serait sentie obligée de payer, mais le « décrypteur » fourni par les créateurs de Hazard n’a pas fonctionné comme prévu.
Bien qu’il ne soit pas courant de faire appel à des décrypteurs peu fiables, GuidePoint explique que les malwares peuvent parfois se comporter de manière imprévisible. Après avoir négocié avec les cybercriminels, les chercheurs ont été chargés de déterminer pourquoi l’outil de décryptage nouvellement acquis n’était pas en mesure de restaurer les fichiers cryptés.
La cause principale était un bug dans la charge utile de chiffrement utilisée par le ransomware Hazard. « Une condition de concurrence s’est produite lorsque l’acteur de la menace a exécuté plusieurs chiffreurs sur le même système », a déterminé GuidePoint. Chaque fichier a été chiffré une deuxième fois avant d’être renommé avec une nouvelle extension, ce qui a entraîné l’absence d’octets dans un bloc de données ajouté au fichier d’origine.
Les données ajoutées étaient nécessaires pour récupérer le vecteur d’initialisation du chiffrement (IV), mais les trois derniers octets manquaient après le chiffrement. Étant donné que l’IV était généré de manière pseudo-aléatoire par la charge utile de chiffrement, la récupération des octets manquants semblait initialement impossible.
Les créateurs du ransomware n’étaient probablement pas au courant de ce bug dans leur malware. Après avoir identifié la raison pour laquelle le décrypteur ne fonctionnait pas, GuidePoint a tenté de faire remonter le problème à l’équipe de « support technique » de Hazard. Cependant, les acteurs de la menace ont simplement fourni le même outil de décryptage sous un nom différent avant de disparaître.
Les fichiers cryptés étant précieux, GuidePoint a été chargé de développer une solution fonctionnelle. Les chercheurs y sont parvenus en adoptant une approche de force brute, en testant toutes les combinaisons possibles pour les octets manquants dans le IV, et en récupérant finalement les fichiers propres.
Les coûts associés aux incidents de ransomware sont en hausse, et même les opérations de malware « zombies » comme LockBit 3.0 continuent de faire des victimes. Après avoir eu affaire à un outil de décryptage défectueux, GuidePoint a souligné que les paiements de rançon ne devraient jamais être effectués. L’adoption de bonnes pratiques pour les sauvegardes de données est cruciale, et même la sauvegarde de données chiffrées peut s’avérer utile dans des situations uniques comme l’incident Hazard récemment révélé.