Les créateurs de ransomware Linux ont de la malchance pour la troisième fois alors que les chercheurs décryptent à nouveau

Les chercheurs découvrent que la version Linux.Encoder 3 utilise toujours un chiffrement défectueux et permet la récupération de fichiers

À la grande joie des chercheurs en sécurité, un groupe de créateurs de logiciels malveillants a actuellement des difficultés à mettre en œuvre des implémentations cryptographiques dans leur ransomware. Cela ne s’est pas produit une fois, mais trois fois.

Un groupe de cybercriminels tente depuis plusieurs mois d’infecter des systèmes Linux, principalement des serveurs Web, avec un programme de ransomware qui chiffre les fichiers et que l’industrie de la sécurité a surnommé Linux.Encoder.

Selon des chercheurs en sécurité de l’éditeur d’antivirus Bitdefender, la troisième version de Linux.Encoder a infecté au moins 600 serveurs vulnérables dans le monde.

La bonne nouvelle est que cette version du programme présente également un défaut qui permet le déchiffrement sans payer la rançon, malgré les tentatives de ses créateurs de corriger leurs échecs précédents.

Catalin Cosoi, stratège en sécurité chez Bitdefender, a déclaré : « Comme nous l’avions prévu, les créateurs de Linux.Encoder ont corrigé leurs bogues précédents et créé une nouvelle variante améliorée. Heureusement pour les victimes, la nouvelle variante de Linux.Encoder est toujours vulnérable aux attaques de récupération de clés.

« L’ancienne version du ransomware Linux.Encoder générait un vecteur d’initialisation de 16 octets et une clé AES de 16 octets en appelant la fonction rand(). La graine initiale du RNG était prise à partir de l’horodatage actuel, qui était en fait très proche de l’heure de modification du fichier après le chiffrement. »

Lorsque Bitdefender a documenté l’approche défectueuse pour générer des IV et des clés dans les versions précédentes, la communauté Twitter s’est moquée des développeurs de ransomware en suggérant des améliorations folles à la fonctionnalité du ransomware.

Cosoi a déclaré : « Apparemment, les opérateurs ont effectivement pris note de ces recommandations ; en conséquence, l’IV est maintenant généré à partir d’un hachage de la taille du fichier et du nom de fichier – 32 octets de rand() sont hachés 8 fois et utilisés comme clé AES-256. »

Et les attaquants ont toujours commis des erreurs de codage de niveau n00b. Par exemple, il manque un lien statique dans la bibliothèque libc qui empêche le lancement du ransomware sur des systèmes plus anciens qui seraient plus faciles à pirater.

Les créateurs de ransomware n’ont pas réussi à sélectionner un algorithme de hachage, ce qui fait que la sortie de la fonction de hachage reste inchangée. Les chercheurs de Bitdefender ont déclaré dans un article de blog mardi : « En conséquence, la clé AES complète est maintenant écrite dans le fichier chiffré, ce qui rend sa récupération très facile. »

Cela signifie que tous les appels aux primitives Update et Finish sont inefficaces. En conséquence, la clé AES complète est maintenant écrite dans le fichier chiffré, ce qui rend sa récupération un processus simple.

Bitdefender a publié un nouvel outil qui peut déchiffrer les fichiers affectés par cette dernière version de Linux.Encoder pour ceux qui ont été touchés par la nouvelle version de ce ransomware.

Malheureusement, les personnes derrière ce programme de ransomware semblent assez déterminées et il est peu probable qu’elles continuent à faire des erreurs. Il est raisonnable de supposer qu’elles finiront par réussir leur implémentation, et lorsque cela se produira, les fichiers chiffrés par Linux.Encoder seront irrécupérables sans sauvegardes ou paiement de la rançon.

Le chercheur de BitDefender, Radu Caragea, a qualifié la dernière variante de Linux.Encoder de contre-attaque d’un « coup de chance » et dit que les victimes qui échappent à l’emprise de la troisième version pourraient ne pas avoir de quatrième chance.

« Bien que ce soit le troisième coup de chance, veuillez vous assurer qu’après la récupération, vous mettez à jour les plateformes vulnérables et stoppez ce type d’attaque dès le départ. »

« La prochaine fois, les hackers pourraient réellement proposer une version fonctionnelle du ransomware qui ne sera pas aussi facile à déchiffrer. »