Dharma a permis d’extorquer 24 millions de dollars de rançons depuis 2016. Le code du rançongiciel est désormais vendu à partir de 2 000 sur des forums de hackers russes.

Les malfaiteurs vont-ils être tentés de dépenser 2 000 dollars pour obtenir un logiciel qui permet de demander des rançons en dizaines, voire en centaines de milliers de dollars ? Zdnet a repéré sur deux forums de hackers russes la mise en vente du code source de Dharma, l’un des plus gros rançongiciels, à partir de 2 000 euros.

Ce genre de rançongiciel est principalement utilisé pour lancer des attaques ciblées contre des réseaux informatiques d’entreprises.  Pour l’instant, aucune entreprise de cybersécurité n’a réussi à créer un outil de décryptage capable de lever le chiffrement de Dharma. Les victimes du rançongiciel ont alors deux options : payer la rançon et compter sur l’honnêteté des rançonneurs pour récupérer la clé de déchiffrement, ou abandonner les données chiffrées et redéployer leur réseau informatique à partir de sa dernière sauvegarde.

Image d'erreur

Les rançongiciels chiffrent les données, ce qui paralyse les outils informatiques. // Source : Illustration par Lucie Benoit pour Numerama

D’après le bilan du dernier semestre 2019 de l’entreprise de cybersécurité Coveware, Dharma pesait pour 9,3 % des attaques rançongiciels. Phobos, un autre rançongiciel suspecté d’avoir été bâti sur le même code source, a été utilisé dans plus de 10 % des attaques. Dharma se classe aussi deuxième de la liste des rançongiciels les plus lucratifs établie par le FBI. En 3 ans, de novembre 2016 à 2019, il a permis d’extorquer 24 millions de dollars.

Vers un pic d’attaques avec Dharma ?

Dharma est vraisemblablement un « ransomware-as-a-Service », c’est-à-dire que ses développeurs ne l’utilisent pas pour leur propre usage. À la place, ils le proposent contre des rémunérations à des gangs qui l’adapteront selon leurs besoins. Il existe donc des dizaines de versions de Dharma, déclinées de son code source vendu depuis 2016 sur les forums les plus obscurs d’Internet. Avec la mise en vente sur des forums plus connus, la multiplications de nouvelles versions devrait s’accélérer. Pire, le risque que le code soit mis en ligne gratuitement sur Internet augmente à mesure que de nombreuses personnes mettent la main dessus. Dans tous les cas, il devrait y avoir un pic de cyberattaques utilisant Dharma.

Les chercheurs qui protègent les entreprises pourraient aussi mettre la main sur le code source

Même si plus de personnes pourront accéder au rançongiciel, il leur faut cependant avoir les moyens de le distribuer. Les cyberdélinquants devront lancer des campagnes de phishing ou exploiter des vulnérabilités afin de pousser leurs cibles à installer Dharma.

Ce n’est pas tout : en sortant de son cercle de diffusion restreint, le code pourrait également être récupéré par les chercheurs en cybersécurité qui accompagnent les victimes. Son analyse pourrait leur permettre d’identifier des protections, voire de créer des clés de décryptage. Reste que les développeurs de Dharma mettent leur code régulièrement à jour, et que ces potentielles solutions ne fonctionneront probablement pas sur toutes les versions du rançongiciel.

Tous les opérateurs de Dharma ne maitrisent pas le rançongiciel

En France, Dharma est responsable de 9 incidents d’ampleur traités par l’Agence nationale de la sécurité des systèmes d’information (Anssi) depuis 2017, d’après son rapport sur la menace rançongiciel. Les victimes viennent majoritairement du secteur de la santé, et compte notamment Ramsay Générale de Santé, le numéro 1 des hôpitaux privés dans l’Hexagone.

« Responsable d’un quart des infections détectées en 2018, Dharma est probablement proposé à bas prix. Certains groupes d’attaquants ont également montré une mauvaise maitrise opérationnelle du code, empêchant les victimes de récupérer leurs fichiers malgré le paiement de la rançon », observaient les auteurs du rapport publié en 2020.

Puisque Dharma est utilisé par plusieurs gangs, le montant de la rançon et les chances de récupérer les fichiers chiffrés varient selon les variantes du rançongiciel.

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !