Ransomware et DDoS dans un même package

Une nouvelle tendance chez les maîtres chanteurs du web : fusionner ransomware et DDoS pour récupérer de l’argent.

Ransomware et DDoS – La société KnowBe4 a émis une alerte sur une nouvelle tendance malveillante dans le petit monde du ransomware. Au lieu de se contenter de chiffrer les fichiers et/ou le disque dur des internautes, un nouveau ransomware propose de fusionner sa malveillance avec des attaques de Dénis Distribués de Services (DDoS).

Le ransomware Cerber ajoute maintenant un bot DDoS qui peut tranquillement faire sauter le trafic réseau de la personne/entreprise piégée par le maître chanteur. Deux attaques pour le prix d’une… et deux façons pour les cybercriminels pour se faire de l’argent.

Stu Sjouwerman, PDG de KnowBe4, m’indique que « L’ajout d’attaques DDoS en plus de l’action du ransomware est l’une de ces – idées – de génie des pirates« . Il faut dire aussi que la location de botnets DDoS dans le Dark Web est une devenue une entreprise très lucrative, même si les prix ont baissé au cours des dernières années.

Il semble que ce soit le premier cas où une « cyber mafia » livre un ransomware avec un bot DDoS. Il faut s’attendre à d’autres cas.

Invincea commente de son côté que le trafic réseau observé semble être inondé avec des paquets UDP sur le port 6892. Les pirates exploitent un code en Visual Basic capable de leurrer les antivirus. Le ransomware est exécuté en premier. Il chiffre les données, puis bloque l’accès à l’ordinateur en le verrouillant. Après cette séquence, un second binaire appelé 3311.tmp est lancé. Il envoie une grande quantité de données sur le réseau de la personne/entreprise infectée.

Les pirates s’offrent ainsi une seconde nuisance, empêchant, par exemple la restauration du système chiffré, obligeant ainsi les victimes à payer.