Un kit de ransomware dont la mise en œuvre semble à la portée de tous vient encore d’enrichir la boîte à outils des cybercriminels. La variante dénommée Karmen coûte 175 dollars sur le marché noir. « Un utilisateur de langue russe appelé DevBitox fait de la publicité pour le ransomware sur des forums illégaux », a déclaré hier dans un blog l'agence de sécurité Recorded Future. Les experts qualifient Karmen de ransomware-as-a-service et alertent sur une tendance particulièrement inquiétante. En effet, ces kits offrent un ticket d’entrée à des pirates amateurs ayant peu de connaissances techniques. Pour une somme modique, ils peuvent s’équiper d’une gamme complète d'outils web pour développer leurs propres attaques de ransomware. Et l’interface sous forme de tableau de bord de Karmen est particulièrement simple à utiliser. Elle permet aux acheteurs de modifier le ransomware, de voir la quantité de machines qu'ils ont infectée et de savoir quelle somme d’argent ils ont gagnée.
Pour diffuser leurs ransomwares, les pirates passent souvent par le spam, ajoutant une pièce jointe ou un lien vers un site Web malveillant à leur courrier indésirable. Une fois l’ordinateur infecté, le ransomware chiffre les fichiers présents sur le disque, réclament alors la victime de payer une rançon, généralement en bitcoin, si elle veut récupérer ses fichiers. DevBitox, l'un des développeurs à l’origine de Karmen, a posté des messages sur différents forums pour annoncer la disponibilité de son kit de ransomware-as-a-service en russe et en anglais. Selon Recorded Future, le pirate a déjà vendu 20 exemplaires de Karmen. L‘entreprise de sécurité signale également que, dès le mois décembre, les premières infections liées à la variante du ransomware ont été relevées en Allemagne et aux États-Unis. « Les acheteurs payent 175 dollars en tout et pour tout », a précisé Andrei Barysevich, un directeur de Recorded Future. « Ce tarif met la barre un peu moins haute pour les autres criminels voulant mener des attaques de ransomware et les acheteurs de Karmen récupèrent la totalité des rançons versées par leurs victimes », a-t-il ajouté.
Les recours sont disponibles
Cependant, parce que le code malveillant est dérivé du projet de ransomware open source Hidden Tear, les victimes infectées par Karmen ne sont pas complètement démunies. En effet, pour créer leurs propres variantes de ransomware, les cybercriminels ont utilisé Hidden Tear. Et, pour contrer la menace, les experts en sécurité ont créé des outils de décryptage gratuits qui permettent de supprimer le malware des ordinateurs. Le chercheur en sécurité Michael Gillespie a développé un générateur de clé de décryptage capable de contrer le ransomware développé sur la base de Hidden Tear. Les victimes peuvent le contacter pour obtenir de l'aide.
Le chercheur a également développé un outil en ligne qui permet de savoir quel type de ransomware a infecté l’ordinateur de la victime et lui explique comment elle peut se tirer d’affaire. Un autre site dénommé No More Ransom propose aussi des outils gratuits capables de décrypter certaines infections de ransomware. Les experts en sécurité recommandent également aux entreprises de toujours effectuer des sauvegardes de routine de leurs systèmes critiques, sans aucun doute, la meilleure solution pour se protéger d’une attaque par ransomware.