Selon l’alliance CTA : Cyber Threat Alliance, récemment créée avec Intel Security,  Palo Alto Networks, Fortinet et Symantec, dont le premier rapport vient de sortir, le seul malware Cryptowall v3.0, aurait rapporté 325 millions $ aux pirates. Une industrie très lucrative donc, qui montre à quel point nos défenses sont peu crédibles et faciles à pénétrer.  

Une « économie » souterraine basée sur la …confiance

Selon CTA, les différentes campagnes de demandes de rançons ont généralement un point commun, celui de la « modération ».

Les sommes demandées sont habituellement raisonnables, de l’ordre de 500 $ (mais cela peut monter à 10.000 $, voire plus), jugées finalement acceptables, par de très nombreuses victimes qui acceptent de payer, compte tenu du fait qu’une bonne partie de leur machine est chiffrée et inaccessible.

L’autre critère de modération tient à ce que les pirates envoient généralement la clé de déchiffrement pour remettre la machine en état et qu’ils ne reproduisent pas leur forfait avec les mêmes victimes. Il n’y a donc pas, sauf cas très particuliers, de harcèlement.

D’où cet improbable climat de « confiance » qui s’établit entre les internautes et les pirates…

Qui explique que Cryptowall, que nous avions évoqué il y a quelques mois, ait atteint un tel montant de rançons.

Et que ceux qui pensent encore que les bitcoins sont une monnaie « honnête » constatent avec nous, que la grande majorité des demandes de rançons se font en bitcoins… C’est le cas de Cryptowall.

Nous renvoyons nos lecteurs au livre blanc de CTA (ici), très complet qui explique en détail toute la mécanique Cryptowall, un voyage édifiant et inquiétant.

Bonnes nouvelles pour les victimes de CoinVault et Bitcryptor

Si vous faites partie des victimes des malwares CoinVault ou Bitcryptor, bonne nouvelle : vous pouvez déchiffrer vos fichiers compromis sans verser la moindre rançon. Vous le devrez à Kaspersky et surtout au « Dutch Public Prosecution Service » qui arécupéré les clés de chiffrement localisées sur les serveurs C&C utilisés par CoinVault et Bitcryptor.

Ces clés ont été mises à la disposition des usagers dans le service de déchiffrement de Kaspersky, pour un total de 750 clés, auxquelles sont venues s’ajouter 14.000 autres clés, obtenues à la suite de l’arrestation en septembre dernier aux Pays Bas de deux individus proches des attaques CoinVault et Bitcryptor.

Selon Kaspersky, l’épisode ransomware de ces deux programmes malveillants, serait clos.

Dommage qu’il n’en soit pas de même pour les très nombreux autres ransomwares qui continuent d’écumer le Web et que l’on peut se procurer, moyennant finances, dans le DarkWeb…