GandCrab

GandCrab est un type de ransomware qui chiffre les fichiers d'un utilisateur et demande une rançon pour restaurer l'accès à leurs données. GandCrab cible les consommateurs et les entreprises utilisant des ordinateurs Windows.

.st0{fill:#0D3ECC;} TÉLÉCHARGEZ MALWAREBYTES GRATUITEMENT

Également pour Windows, iOS, Android, Chromebook et Pour les entreprises

Le 31 mai 2019, les cybercriminels derrière le ransomware GandCrab ont fait quelque chose d'inhabituel dans le monde des logiciels malveillants. Ils ont annoncé la fermeture de leurs opérations, laissant potentiellement des millions de dollars en suspens.

« Toutes les bonnes choses ont une fin », ont-ils écrit dans un message auto-congratulatoire sur un forum cybercriminel notoire. Depuis son lancement en janvier 2018, les auteurs de GandCrab affirmaient avoir collecté plus de 2 milliards de dollars en rançons illicites et qu'il était temps de prendre « une retraite bien méritée ».

« Nous avons encaissé cet argent et l'avons légalisé dans divers domaines des affaires honnêtes, à la fois dans la vie réelle et sur Internet », ont-ils poursuivi. « Nous avons prouvé que les mauvaises actions ne rencontrent pas toujours de représailles. »

Les partenaires affiliés, qui aidaient à propager le ransomware pour une part des bénéfices, ont été encouragés à cesser leurs activités, tandis que les victimes ont été priées de payer maintenant ou de perdre leurs données chiffrées à jamais.

Le message s’est terminé par un remerciement concis à toute la communauté des affiliés pour « tout le dur labeur ».

Bien qu'il s'agisse d'une vantardise amusante, plusieurs questions restent sans réponse. Les créateurs de GandCrab ont-ils réellement gagné autant d'argent qu'ils le prétendent ? Qui sont ces personnes et prennent-elles vraiment leur retraite ? Plus important encore, GandCrab représente-t-il encore une menace pour les consommateurs ?

Dans cet article, nous tenterons de répondre à toutes ces questions persistantes, de fournir des ressources pour les victimes, et de mettre un épilogue à l'histoire de GandCrab.

Qu'est-ce que GandCrab ?

Observé pour la première fois en janvier 2018, GandCrab est un logiciel malveillant qui chiffre les fichiers des victimes et exige une rançon pour en récupérer l'accès. GandCrab cible les consommateurs et les entreprises utilisant Windows.

Avec un nom qui sonne comme une maladie sexuellement transmissible, on pourrait penser que "GandCrab" a un lien avec la nature infectieuse et la propension du ransomware à se propager à travers les réseaux d'entreprise. Cependant, selon ZDNet, le nom de GandCrab pourrait provenir de l'un de ses créateurs qui se cache derrière le pseudonyme "Crab" ou "Gandcrab".

GandCrab n’infecte pas les machines en Russie ou dans l'ex-Union soviétique, ce qui est un indicateur fort que le ou les auteurs se trouvent dans la région. On sait peu de choses sur les membres de l'équipe GandCrab.

GandCrab suit un modèle commercial de marketing d'affiliation, aussi appelé Ransomware-as-a-Service (RaaS), dans lequel les cybercriminels de bas niveau se chargent de trouver de nouvelles victimes tandis que les auteurs de la menace sont libres de peaufiner et améliorer leur création.

Les entreprises légitimes utilisent des modèles d'affiliation tout le temps, notamment Amazon. Par exemple, supposons que vous avez un blog où vous évaluez des appareils électroniques—pensez écouteurs, smartphones, ordinateurs portables, ordinateurs, etc. Chaque évaluation inclut un lien unique qui permet aux visiteurs d'acheter l'article présenté sur Amazon. En échange d'avoir envoyé le client vers Amazon, vous recevez un pourcentage du prix d'achat.

En ce qui concerne GandCrab, les auteurs de la menace distribuent leur technologie à d'autres cybercriminels entreprenants (c'est-à-dire les affiliés). Ensuite, c'est aux affiliés de décider comment ils trouveront de nouveaux "clients" (ou victimes). Les rançons payées sont réparties entre l'affilié et l'équipe de GandCrab dans une proportion de 60/40 ou jusqu'à 70/30 pour les meilleurs affiliés.

Le journaliste spécialisé en cybersécurité Brian Krebs rapporte qu'un affilié a gagné 125 000 dollars en commissions en l'espace d'un mois.

En utilisant le modèle d'affiliation, des criminels avec peu de compétences techniques peuvent participer à l'action du ransomware. Et avec des criminels de bas niveau responsables de trouver et d'infecter des machines, les créateurs de GandCrab peuvent se concentrer sur la révision de leur logiciel, l'ajout de nouvelles fonctionnalités et l'amélioration de sa technologie de cryptage. Au total, il existe cinq versions différentes de GandCrab.

Lors de l'infection, des notes de rançon sont affichées bien en vue sur l'ordinateur de la victime, les orientant vers un site web sur le Dark Web (partie cachée du web nécessitant un navigateur spécial pour être vue).

En accédant à la version anglaise du site web, les victimes voient le message plein de fautes d'orthographe « WELCOME! WE ARE REGRET, BUT ALL YOUR FILES WAS INFECTED! »

Les versions ultérieures du site de rançon mettaient en vedette M. Krabs du dessin animé pour enfants "Bob l'éponge." Apparemment, les cybercriminels ne se soucient pas trop des violations de droits d'auteur.

Pour dissiper toute crainte concernant le paiement de la rançon, GandCrab permet aux victimes de décrypter gratuitement un fichier de leur choix.

Les paiements GandCrab se font via une cryptomonnaie obscure appelée Dash, prisée des cybercriminels pour sa grande discrétion. Les demandes de rançon sont fixées par l'affilié, mais se situent généralement entre 600 et 600 000 dollars. Après paiement, les victimes peuvent immédiatement télécharger le décrypteur GandCrab et retrouver l'accès à leurs fichiers.

En cas de problème pour payer la rançon ou télécharger l'outil de décryptage, GandCrab offre une assistance en ligne « gratuite » 24h/24 et 7j/7.

"GandCrab suit un modèle commercial de marketing d'affiliation, appelé Ransomware-as-a-Service (RaaS), dans lequel des cybercriminels de bas niveau se chargent de trouver de nouvelles victimes tandis que les auteurs de la menace sont libres de bricoler et d'améliorer leur création."

Quelle est l'histoire de GandCrab ?

On pourrait à tort penser que les ransomwares sont une invention récente. En réalité, toutes les formes de ransomware, y compris GandCrab, suivent un modèle de base établi il y a trente ans par une première forme de virus informatique.

Le premier proto-ransomware est apparu en 1989, littéralement dans les boîtes aux lettres des victimes. Connu sous le nom de virus informatique du SIDA, il se propageait via les disquettes de 5,25 pouces envoyées par la poste. La disquette était étiquetée « Information SIDA » et comprenait un court questionnaire visant à évaluer le risque individuel de contracter le virus du SIDA (le biologique).

Lancer le questionnaire activait le virus, après quoi il restait en sommeil pendant les 89 démarrages suivants. Lors du 90e démarrage, les victimes recevaient une notification à l'écran demandant un paiement pour « la location de votre logiciel ». Si les victimes tentaient d'accéder à leurs fichiers, elles trouvaient tous les noms de fichiers brouillés.

Les paiements de rançon devaient être envoyés à une boîte postale au Panama et, en retour, les victimes recevaient un « paquetage de renouvellement logiciel » qui inverserait le quasi-cryptage.

La méthode opératoire de GandCrab et d'autres menaces modernes reste relativement inchangée depuis les jours du virus informatique du SIDA. La seule différence est qu'aujourd'hui, les cybercriminels disposent d'un arsenal vaste et avancé de technologies pour cibler, infecter et victimiser les consommateurs.

Observé pour la première fois en janvier 2018, GandCrab s'est propagé via des publicités malveillantes (aussi appelées malvertising) et des fenêtres pop-up trompeuses diffusées par des sites web compromis. En atterrissant sur un site malveillant, les victimes recevaient une alerte à l'écran leur demandant de télécharger une police manquante. Le faire installait le ransomware.

Simultanément à la campagne d'infection par police, GandCrab s'est également propagé via des pièces jointes de courriels malveillants (aussi appelés malspam) envoyés par un botnet d'ordinateurs piratés (les botnets sont également utilisés pour des attaques DDoS). Dans un parfait exemple de tromperie d'ingénierie sociale, ces emails comportaient le sujet « Facture impayée #XXX ». Motivés par la peur, la curiosité ou la cupidité, les victimes ouvraient l'email et la « facture » chargée de logiciels malveillants en pièce jointe.

Cependant, pendant la majeure partie de sa courte période d'activité destructrice, GandCrab s'est généralement propagé d'un ordinateur à l'autre par l'intermédiaire d'un kit d'exploitation. Les exploits sont une forme de cyberattaque qui exploite les faiblesses ou les vulnérabilités d'un système cible afin d'obtenir un accès non autorisé à ce système. Un kit d'exploitation est un ensemble prêt à l'emploi de diverses technologies conçues pour tirer parti d'un ou de plusieurs exploits.

L'équipe de Malwarebytes Labs a signalé au moins quatre kits d'exploitation différents utilisés pour propager GandCrab, dont vous pouvez lire les détails :

En février 2018, un mois après que GandCrab ait été repéré pour la première fois dans la nature, la société de cybersécurité Bitdefender a publié un outil de décryptage de GandCrab gratuit. Cela a poussé les auteurs de GandCrab à publier une nouvelle version de leur ransomware avec une nouvelle technologie de cryptage. À ce jour, la version la plus récente de l'outil de décryptage fonctionne pour les versions 1, 4, 5.01, et 5.2 de GandCrab. À ce jour, il n'existe pas d'outil de décryptage gratuit pour les versions 2 et 3 de GandCrab.

En octobre 2018, une victime de la guerre civile syrienne a dénoncé les créateurs de GandCrab comme "sans cœur" pour avoir chiffré les photos de ses enfants décédés. En réaction, l'équipe GandCrab a publié la clé de décryptage pour toutes les victimes de Syrie et ajouté la Syrie à la liste des pays non ciblés par le ransomware GandCrab.

En janvier 2019, les affiliés ont été vus pour la première fois utilisant ce qu'on appelle une attaque par protocole de bureau à distance (RDP). Avec ce type d'attaque, les auteurs scannent un réseau donné pour repérer les systèmes configurés pour l'accès à distance, c'est-à-dire un système sur lequel un utilisateur ou un administrateur peut se connecter et contrôler à distance. Une fois qu'ils trouvent un système configuré pour l'accès à distance, ils tentent de deviner les identifiants de connexion à l'aide d'une liste de noms d'utilisateur et de mots de passe courants (aussi appelée attaque par force brute ou dictionnaire).

En même temps, les affiliés de GandCrab profitaient d'une longue et sévère saison de grippe (21 semaines) pour diffuser le ransomware via des e-mails de phishing prétendument en provenance du CDC, portant le sujet « Alerte pandémie grippale ». Ouvrir le document Word malveillant en pièce jointe déclenchait l'infection par ransomware.

cdc phishing email

Grâce à son armée d'affiliés, à sa méthodologie d'attaque diversifiée et à ses révisions régulières de code, GandCrab est rapidement devenu la détection de ransomware la plus fréquente parmi les cibles professionnelles et grand public pour 2018, comme signalé dans le rapport State of Malware de Malwarebytes Labs.

Malgré son succès, ou peut-être à cause de cela, GandCrab a cessé ses activités en mai 2019, après seulement un an et demi de fonctionnement. Les chercheurs en cybersécurité ont émis plusieurs théories pour expliquer ce retrait.

GandCrab n'est pas aussi réussi que ses créateurs le prétendent. Nous ne savons pas vraiment combien d'argent l'équipe de GandCrab a gagné. Leur affirmation de 2 milliards de dollars de revenus est peut-être exagérée et voici pourquoi : Les chercheurs en cybersécurité ont développé des outils gratuits de décryptage pour les versions antérieures du ransomware. À peine deux semaines après que l'équipe GandCrab a annoncé avoir quitté la scène, les chercheurs de Bitdefender ont publié un outil de décryptage final capable de décrypter la dernière version de GandCrab. Avec une sensibilisation publique accrue aux outils de décryptage gratuits, de plus en plus de victimes potentielles évitent de payer une rançon éventuelle.

L'équipe GandCrab continuera à créer des ransomwares ou d'autres malwares sous un autre nom. En annonçant qu'ils ont cessé leurs opérations, l'équipe GandCrab est libre de tourmenter le monde avec de nouvelles menaces malicieuses, loin des yeux attentifs des chercheurs en cybersécurité et des forces de l'ordre. Comme prévu, les chercheurs en cybersécurité de Malwarebytes ont signalé une nouvelle souche de ransomware ressemblant étrangement à GandCrab.

Connu sous le nom de Sodinokibi (alias Sodin, alias REvil), ce ransomware a été repéré dans la nature presque deux mois après que GandCrab a cessé ses activités et les chercheurs ont immédiatement établi une comparaison avec le ransomware défunt. Jusqu'à présent, il n'y a pas de preuve irréfutable incriminant l'équipe GandCrab en tant qu'auteurs de Sodinokibi, mais c'est un bon pari.

Pour commencer, Sodinokibi suit le même modèle de ransomware-as-a-service : l'équipe GandCrab possède et soutient le logiciel, permettant à tout cybercriminel potentiel de l'utiliser en échange d'une part des profits.

Sodinokibi suit le même processus de mise à jour itérative que GandCrab. À ce jour, il y a eu six versions de Sodinokibi.

Sodinokibi utilise certains des mêmes vecteurs d'infection, notamment les kits d'exploitation et les pièces jointes d'e-mails malveillants. Cependant, dans une nouvelle torsion, les criminels derrière Sodinokibi ont commencé à utiliser des fournisseurs de services gérés (MSP) pour propager les infections. En août 2019, des centaines de cabinets dentaires à travers le pays ont découvert qu'ils ne pouvaient plus accéder à leurs dossiers de patients. Les attaquants ont utilisé un MSP compromis, dans ce cas une société de logiciels médicaux, pour déployer le ransomware Sodinokibi dans les cabinets dentaires utilisant le logiciel de tenue de dossiers.

Enfin, la note de rançon et le site de paiement de Sodinokibi ressemblent beaucoup à ceux de GandCrab.

Comment se protéger de GandCrab

Bien que l'équipe Data Sciences de Malwarebytes rapporte que les détections de GandCrab sont en forte diminution, nous devons encore faire face à Sodinokibi et à d'autres souches de ransomware. Cela dit, voici comment vous protéger de GandCrab et d'autres ransomwares.

  • Sauvegardez vos fichiers. Avec des sauvegardes régulières de données, une infection par ransomware devient une petite, si ennuyeuse, inconvénient. Il suffit de remettre votre système à zéro et de passer à autre chose.
  • Soyez prudent avec les pièces jointes et les liens dans les e-mails. Si vous recevez un e-mail d'un ami, d'un membre de la famille ou d'un collègue qui semble étrange, réfléchissez à deux fois. Si l'e-mail vient d'une entreprise avec laquelle vous faites des affaires, essayez de naviguer vers le site web de l'entreprise ou, si disponible, utilisez l'application.
  • Appliquez régulièrement des correctifs et mettez à jour. Garder votre système à jour empêche les attaquants d'exploiter des failles qui pourraient leur permettre d'accéder de façon non autorisée à votre ordinateur. Les failles, comme vous vous en souvenez, sont le principal moyen par lequel GandCrab infecte les systèmes ciblés. De même, si vous avez des logiciels vieux ou obsolètes que vous n'utilisez plus, supprimez-les.
  • Limitez l'accès à distance. La meilleure façon de se protéger contre une attaque par protocole de bureau à distance (RDP) est de limiter l'accès à distance. Demandez-vous si ce système a vraiment besoin d'être accessible à distance. Si la réponse est oui, réduisez au moins l'accès aux utilisateurs qui en ont vraiment besoin. Mieux encore, implémentez un réseau privé virtuel (VPN) pour tous les utilisateurs à distance, ce qui annule toute possibilité d'attaque RDP.
  • Utilisez des mots de passe forts et ne réutilisez pas les mêmes mots de passe sur différents sites. Si un système doit absolument être accessible à distance, assurez-vous d'utiliser un mot de passe fort avec une authentification multi-facteurs. Certes, se souvenir de mots de passe uniques pour tous les sites et applications que vous utilisez est une tâche difficile, voire impossible. Heureusement, un gestionnaire de mots de passe peut le faire pour vous.
  • Utilisez un logiciel de cybersécurité. Par exemple, Malwarebytes Premium pour Windows bloque les Trojans, les virus, les téléchargements malveillants, les mauvais liens et les sites Web frauduleux afin que les ransomwares, comme GandCrab, et d'autres infections par malware ne puissent jamais s'implanter sur votre système.

Comment supprimer GandCrab

Si vous avez déjà été victime de GandCrab, il y a de bonnes chances que vous n'ayez pas besoin de payer la rançon. Suivez plutôt ces étapes pour supprimer GandCrab de votre PC.

  1. Affichez les extensions de fichier sous Windows. Par défaut, Microsoft Windows masque les extensions de fichier (comme .exe et .doc) et vous devrez voir ces extensions avant de passer à l'étape suivante. En bref, ouvrez l'Explorateur de fichiers, cliquez sur l'onglet Affichage, puis cochez la case Extensions de nom de fichier.
  2. Déterminez la version de GandCrab. Maintenant que vous pouvez voir les extensions de fichier, vous pouvez identifier la version de GandCrab que vous avez en vérifiant les extensions de vos fichiers chiffrés.
    • La version 1 de GandCrab donne l'extension .gdcb.
    • Les versions 2 et 3 de GandCrab donnent l'extension .crab.
    • La version 4 de GandCrab donne l'extension .krab.
    • La version 5 de GandCrab donne une extension aléatoire de 5 lettres.
  • Téléchargez le décrypteur. Comme mentionné plus tôt dans cet article, il existe un décrypteur gratuit pour GandCrab pour les versions 1, 4, 5.01, et 5.2. Si les extensions de vos fichiers correspondent à ces versions, tout va bien. Malheureusement, il n'existe pas d'outil de décryptage gratuit pour les versions 2 et 3 de GandCrab.
  • Ne payez pas la rançon. Si vous avez été infecté par la version 2 ou la version 3 de GandCrab, vous pourriez être tenté de payer la rançon—ne le faites pas. En supposant que les serveurs de GandCrab soient toujours opérationnels, le FBI, Europol et INTERPOL recommandent tous de ne pas payer la rançon. Il n'y a aucune garantie que vous récupérerez vos fichiers, et cela vous désigne comme une cible facile pour de futures attaques de ransomware.