A trop vouloir bien faire, on finit par faire mal. Cette maxime pourrait bien s’appliquer au chercheur espagnol Yavier Juste, doctorant à l’Université Rey Juan Carlos à Madrid. Il a réussi à trouver une faille dans le ransomware Avaddon et a créé un décrypteur permettant de déverrouiller les fichiers chiffrés.
Fier de ces efforts, il a publié son décrypteur sur sa page GitHub. Le chercheur a également présenté un rapport sur ArXiv décrivant la faille qui lui a permis cet exploit. Selon lui, quand le ransomware chiffre un terminal, il crée une clé de chiffrement AES256 utilisé pour crypter et décrypter les fichiers. Or la faille réside dans la façon dont le rançongiciel efface cette clé. Yavier Juste a élaboré un décrypteur capable de récupérer cette clé en mémoire à condition que le PC ne soit pas éteint pendant le chiffrement.
Les développeurs du ransomware ont corrigé la faille
Des efforts qui ont fortement intéressés les développeurs du ransomware Avaddon. Ils ont indiqué dans un post sur un forum underground qu’ils avaient corrigé la faille. « Nous avons analysé la situation, identifié les faiblesses et trouvé la solution », soulignent-ils. En ajoutant que cette solution « rendra le déchiffrement par d’autres moyens impossibles ».
L’adaptation va même plus loin sur le partage de revenus des affiliés au ransomware. Avec l’existence du décrypteur et donc du manque à gagner, le gang a décidé d’augmenter la part redistribuée à ses affiliés à 80% contre 65 à 75% habituellement. Cette affaire doit être comprise comme un rappel que la publication des failles peuvent servir les cybercriminels à améliorer et renforcer leurs produits.