How can security experts unravel ransomware

• Face aux pratiques illégales des hackers, un nombre croissant d'experts en sécurité collaborent avec les forces de l'ordre pour fournir des outils de déchiffrement gratuits.
• Les spécialistes du déchiffrement de ransomwares développent des outils de plusieurs manières principales: rétro-ingénierie des erreurs, collaboration avec les forces de l'ordre et collecte de clés de chiffrement accessibles au public.

L'ère du piratage effréné

Les hackers utilisent des ransomwares pour cibler tous les secteurs, en exigeant le plus d'argent possible pour accéder aux fichiers des victimes. C'est une activité lucrative. Au cours des six premiers mois de 2023, les gangs de ransomwares ont escroqué leurs cibles de 449 millions de dollars.
De plus en plus, cependant, les experts en sécurité s'associent aux forces de l'ordre pour fournir des outils de déchiffrement gratuits.

À lire également: Les hackers ne semblent jamais satisfaits des vols de cryptomonnaies !

Plusieurs solutions courantes

Il existe plusieurs façons principales pour les déchiffreurs de ransomwares de développer des outils: la rétro-ingénierie des erreurs, la collaboration avec les forces de l'ordre et la collecte de clés de chiffrement accessibles au public. La durée de ce processus dépend de la complexité du code, mais il nécessite généralement des informations sur le fichier chiffré, la version non chiffrée du fichier et les informations sur le serveur fournies par le groupe de hackers. Voir aussi: La FCC soutient les constructeurs de fibre avec des limites de permis.

« Avoir uniquement le fichier chiffré en sortie est généralement inutile. Vous avez besoin de l'échantillon lui-même, le fichier exécutable », a déclaré Jakub Kroustek, responsable de la recherche sur les malwares chez l'entreprise antivirus Avast. Ce n'est pas facile, mais quand cela fonctionne, cela apporte des avantages aux victimes touchées. Voir aussi: Ofcom révèle les lacunes de couverture mobile sur les trains britanniques.

Les déchiffreurs de ransomwares utiliseront leurs connaissances en génie logiciel et en cryptographie pour obtenir les clés de ransomware et créer un outil de déchiffrement à partir de là, a déclaré Kroustek. Les processus de chiffrement plus avancés peuvent nécessiter une attaque par force brute ou une supposition éclairée basée sur les informations disponibles. Parfois, les hackers utilisent des générateurs de nombres pseudo-aléatoires pour créer des clés. Un vrai générateur de nombres aléatoires serait aléatoire, mais cela signifie qu'il n'est pas facile à prédire. Comme l'explique van der Wiel, un générateur pseudo-aléatoire peut s'appuyer sur un modèle existant pour paraître aléatoire alors qu'il ne l'est pas – par exemple, le modèle peut être basé sur le moment où il a été créé. Si les chercheurs en connaissent une partie, ils peuvent essayer différentes valeurs de temps jusqu'à ce qu'ils déduisent la clé. Voir aussi: L'UE réécrit les règles de souveraineté de l'infrastructure IA.

Mais obtenir les clés nécessite souvent de travailler avec les forces de l'ordre pour obtenir plus d'informations sur le mode de fonctionnement d'un groupe de hackers. Si les chercheurs parviennent à obtenir l'adresse IP du hacker, ils peuvent demander à la police locale de saisir le serveur et d'obtenir une copie de la mémoire du serveur. Ou, si les hackers utilisent des serveurs proxy pour masquer leur emplacement, la police peut utiliser des outils d'analyse de trafic comme NetFlow pour déterminer où va le trafic et en extraire des informations, a déclaré Vanderwiel. La Convention de Budapest sur la cybercriminalité rend possible la lutte contre la criminalité transfrontalière car elle permet à la police de demander d'urgence des images de serveurs dans un autre pays en attendant qu'une demande officielle soit traitée. Voir aussi: L'UE évince les opérateurs satellites américains du spectre.

À lire également: 674 M$ de crypto récupérés sur les 2,6 G$ volés

Collaboration avec les forces de l'ordre

Ils ont travaillé avec les forces de l'ordre pour aider Cisco Talos à créer un outil de déchiffrement pour le ransomware Babuk tortilla. Cette version du ransomware cible les soins de santé, l'industrie manufacturière et les infrastructures nationales, chiffrant les appareils des victimes et supprimant les sauvegardes précieuses. Avast a créé un déchiffreur Babuk universel, mais la souche tortilla s'est avérée difficile à craquer. La police néerlandaise et Cisco Talos ont travaillé ensemble pour arrêter les responsables du virus et ont obtenu dans le processus le déchiffreur de tortilla. Voir aussi: La FCC impose des licences pour les points d'atterrissage des câbles sous-marins aux États-Unis.

En général, les experts ne peuvent pas partager trop d'informations sur le processus sans donner un avantage aux gangs de ransomwares. S'ils révèlent les erreurs courantes, les hackers peuvent les utiliser pour améliorer facilement la prochaine tentative de ransomware. Si les chercheurs nous disent sur quels fichiers chiffrés ils travaillent, les malfaiteurs sauront qu'ils sont sur la piste. Mais la meilleure façon d'éviter ce qui précède est d'être proactif. Voir aussi: Les États-Unis ferment la faille des puces d'IA offshore.