Dharma a permis d'extorquer 24 millions de dollars de rançons depuis 2016. Le code du rançongiciel est désormais vendu à partir de 2 000 sur des forums de hackers russes.

Les malfaiteurs vont-ils être tentés de dépenser 2 000 dollars pour obtenir un logiciel qui permet de demander des rançons en dizaines, voire en centaines de milliers de dollars ? Zdnet a repéré sur deux forums de hackers russes la mise en vente du code source de Dharma, l’un des plus gros rançongiciels, à partir de 2 000 euros.

Ce genre de rançongiciel est principalement utilisé pour lancer des attaques ciblées contre des réseaux informatiques d’entreprises.  Pour l’instant, aucune entreprise de cybersécurité n’a réussi à créer un outil de décryptage capable de lever le chiffrement de Dharma. Les victimes du rançongiciel ont alors deux options : payer la rançon et compter sur l’honnêteté des rançonneurs pour récupérer la clé de déchiffrement, ou abandonner les données chiffrées et redéployer leur réseau informatique à partir de sa dernière sauvegarde.

Les rançongiciels chiffrent les données, ce qui paralyse les outils informatiques. // Source : Illustration par Lucie Benoit pour Numerama

D’après le bilan du dernier semestre 2019 de l’entreprise de cybersécurité Coveware, Dharma pesait pour 9,3 % des attaques rançongiciels. Phobos, un autre rançongiciel suspecté d’avoir été bâti sur le même code source, a été utilisé dans plus de 10 % des attaques. Dharma se classe aussi deuxième de la liste des rançongiciels les plus lucratifs établie par le FBI. En 3 ans, de novembre 2016 à 2019, il a permis d’extorquer 24 millions de dollars.

Vers un pic d’attaques avec Dharma ?

Dharma est vraisemblablement un « ransomware-as-a-Service », c’est-à-dire que ses développeurs ne l’utilisent pas pour leur propre usage. À la place, ils le proposent contre des rémunérations à des gangs qui l’adapteront selon leurs besoins. Il existe donc des dizaines de versions de Dharma, déclinées de son code source vendu depuis 2016 sur les forums les plus obscurs d’Internet. Avec la mise en vente sur des forums plus connus, la multiplications de nouvelles versions devrait s’accélérer. Pire, le risque que le code soit mis en ligne gratuitement sur Internet augmente à mesure que de nombreuses personnes mettent la main dessus. Dans tous les cas, il devrait y avoir un pic de cyberattaques utilisant Dharma.

Les chercheurs qui protègent les entreprises pourraient aussi mettre la main sur le code source

Même si plus de personnes pourront accéder au rançongiciel, il leur faut cependant avoir les moyens de le distribuer. Les cyberdélinquants devront lancer des campagnes de phishing ou exploiter des vulnérabilités afin de pousser leurs cibles à installer Dharma.

Ce n’est pas tout : en sortant de son cercle de diffusion restreint, le code pourrait également être récupéré par les chercheurs en cybersécurité qui accompagnent les victimes. Son analyse pourrait leur permettre d’identifier des protections, voire de créer des clés de décryptage. Reste que les développeurs de Dharma mettent leur code régulièrement à jour, et que ces potentielles solutions ne fonctionneront probablement pas sur toutes les versions du rançongiciel.

Tous les opérateurs de Dharma ne maitrisent pas le rançongiciel

En France, Dharma est responsable de 9 incidents d’ampleur traités par l’Agence nationale de la sécurité des systèmes d’information (Anssi) depuis 2017, d’après son rapport sur la menace rançongiciel. Les victimes viennent majoritairement du secteur de la santé, et compte notamment Ramsay Générale de Santé, le numéro 1 des hôpitaux privés dans l’Hexagone.

« Responsable d’un quart des infections détectées en 2018, Dharma est probablement proposé à bas prix. Certains groupes d’attaquants ont également montré une mauvaise maitrise opérationnelle du code, empêchant les victimes de récupérer leurs fichiers malgré le paiement de la rançon », observaient les auteurs du rapport publié en 2020.

Puisque Dharma est utilisé par plusieurs gangs, le montant de la rançon et les chances de récupérer les fichiers chiffrés varient selon les variantes du rançongiciel.

Article publié initialement le 30 march 2020

Crédit photo de la une : Commons.wikimedia.org

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux