Un rançongiciel, comme n’importe quel logiciel, peut contenir des bugs, qui l’empêcheront de fonctionner correctement. Avec un peu de chance, ces bugs offrent l’opportunité aux chercheurs de créer un outil capable de réparer les dégâts causés par le rançongiciel. Mais parfois, ce dernier est tellement mal fait qu’il semble passer à côté de sa mission, pour le meilleur et pour le pire.
C’est le cas de « Black Kingdom », un rançongiciel connu depuis peu, dont Marcus Hutchins a retrouvé la trace. Ce chercheur de chez Kryptos Logic l’a détecté alors qu’il enquêtait sur les cyberattaques qui exploitent ProxyLogon, une suite de vulnérabilités critiques dans un logiciel de Microsoft. Or, un groupe de hacker se sert de ProxyLogon pour rebondir sur les réseaux de ses victimes et y déployer le malware.
Problème : Black Kingdom ne joue pas vraiment le rôle qu’il est supposé avoir. Plus exactement, il suit son script, mais ce script a été extrêmement mal écrit. « Le rançongiciel Black Kingdom est de loin le pire que j’ai jamais vu (…) Il ne détecte pas s’il a déjà été lancé, de sorte que chaque victime que j’ai vue a été chiffrée en boucle au moins 4 fois » détaille Marcus Hutchins sur Twitter.
Normalement, un rançongiciel doit chiffrer les documents une seule fois, puis déposer une note de rançon sur les appareils infectés avec un moyen pour contacter hackers. Si les victimes paient le montant demandé, les rançonneurs promettent de déchiffrer le contenu des appareils infectés, c’est-à-dire de réparer les dégâts qu’ils ont causés. En empilant les couches de chiffrement, Black Kingdom rend ce travail de réparation bien plus laborieux, voire impossible. Les malfaiteurs pourraient donc être dans l’incapacité de remplir leur promesse.
Un rançongiciel qui empêche de voir la demande de rançon
Le pire, c’est que Black Kingdom ne s’est pas toujours raté de la même façon. Hutchins a d’abord trouvé des systèmes sur lesquels le rançongiciel déposait une note de rançon… alors qu’il n’avait pas chiffré le contenu de l’appareil. Autrement dit, les cybercriminels exigeaient un paiement de 10 000 dollars en bitcoin contre une clé de déchiffrement dont les « victimes » n’avaient pas besoin, puisqu’elles n’étaient pas vraiment victimes de quoi que ce soit.
Les développeurs de Black Kingdom s’en sont rendu compte, et ont corrigé le tir, comme le souligne The Record Media. Désormais, le rançongiciel chiffre bien les fichiers. Sauf qu’il chiffre tous (tous) les fichiers, même ceux qu’il ne devrait pas. Les développeurs n’ont pas mis d’exceptions pour les fichiers .exe, .dll et .sys. Ces fichiers sont nécessaires pour effectuer toutes sortes de fonctions basiques sur vos appareils, comme le simple démarrage de’une session. Résultat : les victimes de Black Kingdom sont dans l’impossibilité de démarrer leurs serveurs, car les fichiers .sys sont chiffrés et donc inactifs. Or, si les victimes ne peuvent pas démarrer leurs appareils, elles ne peuvent pas lire la note de rançon et entrer en contact avec les malfaiteurs. Ces derniers n’ont donc aucune chance d’obtenir un paiement…
D’après le Bleeping Computer, le rançongiciel a fait au moins une dizaine de victimes, et l’entreprise Emsisoft aurait trouvé un moyen de réparer en partie les dégâts causés. Reste à voir si un jour les développeurs de Black Kingdom en feront un rançongiciel fonctionnel comme les autres.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !