Ransomware Critoni en vente pour 3000 $ sur un forum clandestin, utilise le réseau d'anonymat Tor pour communiquer avec son serveur C & C

Un nouveau ransomware appelé Critoni est vendu sur les forums clandestins. La spécialité de ce ransomware est qu’il utilise le réseau Tor pour communiquer avec le serveur de commande et de contrôle distant. Cela anonymise la communication et rend donc la détection impossible, car les commandes du ransomware passent par plusieurs couches de configuration d’anonymisation Tor avant d’atteindre le serveur de commande et de contrôle.

Pour les non-initiés, un ransomware est un logiciel malveillant qui, une fois infecté sur votre ordinateur, crypte divers types de fichiers, documents, vidéos et images avec une clé cryptée, puis vous demande de payer une rançon pour obtenir les clés permettant de déchiffrer vos données.

Le post proposant la vente de Critoni a été découvert par le chercheur en sécurité français Kafeine, qui dit que l’annonce est en ligne depuis la mi-juin 2014. Il a déclaré que le prix de ce logiciel malveillant est de 3 000,00 $ / 2 220,00 € / 180 000,00 Rs.

Ce logiciel malveillant particulier est nommé CTB-Locker (Curve-Tor-Bitcoin Locker) par les cybercriminels et Critoni.A par Microsoft. Critoni utilise une cryptographie persistante reposant sur des courbes elliptiques, ce qui rendrait le déchiffrement des fichiers impossible ; les clés sont générées de manière aléatoire et il n’y a aucun risque que deux clés soient identiques. En cas d’infection, la rançon doit être payée en bitcoins afin d’éviter de tracer la transaction. Le ransomware fournit également un tutoriel sur la façon d’obtenir des bitcoins via le marché si la victime n’en possède pas. En fait, si les victimes sont nouvelles sur le réseau d’anonymisation Tor, il fournit même des tutoriels sur le téléchargement de Tor.

Selon Kafeine, le post sur le forum clandestin mentionnait également que le processus de cryptage pouvait être effectué en l’absence de connexion Internet, mais comment il pourrait se connecter à son serveur C & C dans ce cas reste une question. Kafeine rapporte également que Critoni a été vu être livré par le kit d’exploitation Angler, mais d’autres formes d’attaque ont également été détectées dans la nature.

Une autre caractéristique de Critoni est qu’une fois la période de temps fixée pour effectuer le paiement de la rançon expirée, le programme de verrouillage des fichiers se supprime automatiquement et les victimes se voient offrir une autre chance de récupérer les données. Ces instructions sont fournies dans un fichier TXT situé dans le dossier Documents.

Selon des experts en sécurité de Kaspersky, c’est le premier cryptomalware à utiliser le réseau Tor pour anonymiser sa communication avec le serveur de commande et de contrôle. Ce type de protection a généralement été observé dans des chevaux de Troie bancaires comme le malware Zues.

Dans un rapport sur

Threatpost

, Fedor Sinitsyn de Kaspersky a déclaré : « Le code exécutable pour établir la connexion Tor est intégré dans le corps du logiciel malveillant. Auparavant, pour les logiciels malveillants de ce type, cela se faisait généralement avec un fichier Tor.exe. Intégrer les fonctions Tor dans le corps du logiciel malveillant est une tâche plus difficile du point de vue de la programmation, mais cela présente des avantages, car cela aide à éviter la détection et est généralement plus efficace. »

Utiliser le réseau Tor réduit le risque de détection et facilite la tâche des cybercriminels pour créer des bitcoins grâce aux victimes sans défense de Critoni.A