Le FBI récupère un demi-million de dollars en paiements par ransomware

Version imprimable, PDF et e-mail

Le Département américain de la justice (DoJ) a réussi à restituer environ un demi-million de dollars en paiements de ransomware versés à des cybercriminels nord-coréens ciblant des organismes de santé. Encore un signe que les forces de l'ordre deviennent de plus en plus efficaces dans leurs efforts pour priver les pirates informatiques de leurs gains illégalement acquis.

Les cybercriminels ciblent les organismes de santé avec une souche de malware Maui depuis, au moins, mai 2022. Le malware Maui installe un fichier binaire de cryptage appelé « maui.exe » qui combine des algorithmes Advanced Encryption Standard (AES), RSA et XOR pour bloquer l'accès à certains fichiers.

Maui chiffre d'abord les fichiers cibles avec un chiffrement AES 128 bits, en attribuant à chaque fichier une clé AES unique. Un en-tête personnalisé contenu dans chaque fichier, qui comprend le chemin d'accès original du fichier, permet à Maui d'identifier les fichiers précédemment chiffrés. L'en-tête contient également des copies chiffrées de la clé AES. Il chiffre ensuite chaque clé AES avec le chiffrement RSA et charge les clés RSA publiques (maui.key) et privées (maui.evd) dans le même répertoire que le vôtre. Il chiffre alors la clé publique RSA (maui.key) en utilisant le chiffrement XOR avec une clé XOR générée à partir des informations contenues dans le disque dur.

Enfin, Maui crée ensuite un fichier temporaire pour chaque fichier qu'il chiffre à l'aide du fichier GetTempFileNameW() et l'utilise ensuite comme sortie chiffrée. Maui crée alors maui.log, qui contient les données de sortie de l'exécution de Maui et qui peuvent être exfiltrées.

Lorsqu'un malware Maui a entamé le chiffrement de fichiers, il est difficile de remédier à la situation, mais le Federal Bureau of Investigations (FBI) des États-Unis a travaillé en étroite collaboration avec l'une des victimes d'une attaque Maui pour recouvrer les paiements. Après avoir informé le FBI, un hôpital du Kansas a payé environ 100 000 $ en bitcoins pour récupérer l'accès à ses fichiers. Le FBI a ensuite remonté la piste de ces paiements jusqu'à une opération de blanchiment d'argent en Chine, où il a trouvé un paiement en bitcoins d'environ 120 000 dollars effectué par l'hôpital du Kansas sur un compte de crypto-monnaie. Le FBI a également découvert qu’un prestataire de soins médicaux du Colorado venait de payer une rançon après avoir été piraté par des pirates utilisant la même souche de ransomware Maui. Le FBI a procédé à la saisie du contenu de deux comptes de crypto-monnaies dans le but de pouvoir éventuellement restituer ces fonds aux victimes du ransomware.

Si les efforts du FBI sont généralement salués, certains s'inquiètent néanmoins de ce qui pourrait survenir prochainement. Il est clair que les forces de l'ordre sont de plus en plus habiles à traquer les transactions illicites en crypto-monnaies et à récupérer ces fonds, même dans les pays où elles ne disposent d'aucune juridiction officielle. Les cybercriminels vont inévitablement essayer de développer d'autres méthodes de recouvrement des paiements afin que ceux-ci ne soient pas aussi facilement traçables ou identifiables. Certains cybercriminels cherchent, par exemple, à délaisser le bitcoin au profit de monnaies numériques alternatives privilégiant la confidentialité, telles que Monero.

Quel que soit le mode de paiement, les transactions liées aux ransomwares continueront probablement à se faire de manière encore plus discrète pour éviter leur détection. En effet, l'ensemble du processus de paiement risque de devenir beaucoup plus complexe, et ce, pour le meilleur et pour le pire. Par conséquent, le temps nécessaire pour obtenir les clés de déchiffrement des fichiers risque d'être encore plus long, ce qui ne fera qu'augmenter le niveau de stress de toutes les personnes concernées.

Pour ne pas subir ce stress, la meilleure solution consiste à toujours disposer d'une copie originale des données.  En l'absence de cette copie, il appartiendra à chaque organisation de déterminer à l'avance la meilleure façon de se familiariser avec les différents types de crypto-monnaies qui pourraient bientôt être plus largement utilisés.

Remonter en haut de page
Tweeter
Partager
Partager