PureLocker : un nouveau rançongiciel s’attaque aux serveurs

Tech > Web
Par Lionel,  publié le 13 novembre 2019 à 18h00.

Une véritable menace pour les entreprises, vendue au plus offrant sur le dark web par un vétéran des logiciels malveillants.

Les ransomware ou rançongiciel en bon français, ont la fâcheuse habitude de s’attaquer à des particuliers, prenant leurs données en otage contre de l’argent, en échange de la clé qui permettra de les déchiffrer. Agissant comme des chevaux de Troie, ils sont diffusés à travers des courriels et exploitent des vulnérabilités des systèmes d’exploitation, le plus souvent Windows. En 2016, apparaissait cependant KeRanger, un rançongiciel s’installant sur les Mac via l’application de torrent Transmission. Ces logiciels malveillants ont causés d’énormes dégâts lorsqu’ils se sont attaqués à des entreprises ; ainsi le NHS, la Sécurité Sociale anglaise, estime que le ransomware WannaCry qui a causé la fermeture inopinée de 16 hôpitaux en 2016 a causé £92 millions de dommages, soit 107 millions d’euros. PureLocker, détecté par Michael Kajiloti, chercheur au sein de la firme Intezer, et la IBM X-Force pourrait en causer plus encore.

Le monde professionnel en ligne de mire

Nommé ainsi car écrit dans le langage de programmation PureBasic, ce dernier offre des avantages aux attaquants car les fournisseurs de sécurité peinent parfois à générer des signatures de détection fiables pour les logiciels malveillants écrits dans cette langue. PureBasic est également compatible Windows, Linux et macOS, ce qui signifie que les attaquants peuvent plus facilement cibler différentes plateformes. Dans le cas présent, PureLocker cible les serveurs, ce qui signifie que “les attaquants essaient de toucher leurs victimes là où cela fait vraiment mal, en particulier les bases de données qui stockent les informations les plus critiques d’une organisation“, a déclaré Michael Kajiloti, chercheur en sécurité chez Intezer, à ZDNet.

Une partie du code déjà connue

S’il n’y a actuellement pas de chiffres sur le nombre de victimes de PureLocker, Intezer et IBM X-Force ont confirmé que le rançongiciel est actif et disponibles aux attaquants “en tant que service”, contre une somme significative, notamment à cause de son niveau de sophistication. Le code source de PureLocker révèle qu’il contient des lignes de code provenant du malware backdoor “more_egg”, vendu sur le dark web et utilisé par certains des groupes cyber-criminels les plus prolifiques qui opèrent aujourd’hui, notamment Cobalt Gang et FIN6. Un indice qui n’augure rien de bon pour les entreprises.