Un nouveau ransomware a été découvert par les experts en sécurité informatique de Kaspersky. Baptisé DarkGate, le malware est installé sur l’ordinateur des victimes par le biais d’un loader. Ce type de logiciel est conçu pour télécharger et installer d’autres logiciels malveillants sur un système infecté par le biais d’un serveur à distance, sous contrôle des pirates. C’est seulement à ce moment-là que DarkGate arrive sur la machine visée pour chiffrer tous les documents stockés sur la mémoire, et dans un second temps, réclamer une rançon. La stratégie permet de contourner les systèmes de sécurité et les antivirus.
« Le fonctionnement de DarkGate implique une chaîne d’infection en quatre étapes, conçues de manière sophistiquée pour aboutir au chargement de DarkGate », explique Kaspersky.
Les chercheurs ont identifié 17 variantes différentes de ce loader. En fonction de certaines variables, comme le processeur qui anime l’ordinateur, une version différente va se déployer sur la machine.
À lire aussi : Ce nouveau ransomware « Robin des Bois » a une exigence très particulière
Un malware multifonctions
Selon l’enquête menée par Kaspersky, DarkGate embarque une pléthore de fonctionnalités redoutables. Tout d’abord, le ransomware dispose d’un VNC (Virtual Network Computing) caché. Ce dispositif, invisible aux yeux des utilisateurs, permet à un pirate de prendre le contrôle de l’interface de l’ordinateur à distance. Le ransomware peut aussi « simuler les frappes au clavier et les mouvements de la souris ». On y trouve aussi un proxy inverse, qui va masquer les adresses et les caractéristiques des serveurs détenus par les pirates.
Comme la plupart des ransomwares qui s’appuient sur un loader, DarkGate est capable de berner les antivirus. Kasperky a notamment découvert une fonctionnalité qui va tout simplement bloquer Microsoft Defender, l’antivirus par défaut des PC Windows. De plus, DarkGate est en mesure de collecter l’historique de votre navigateur web dans la foulée de l’attaque. Enfin, le virus en profite pour voler des jetons Discord, qui permet de vérifier votre identité sur la plateforme. Grâce à un jeton, un pirate peut prendre le contrôle du compte d’un internaute. Ceux-ci sont de plus en plus ciblés par les hackers. Dès 2021, les experts de Sophos ont remarqué une recrudescence des logiciels malveillants menaçant les utilisateurs de Discord.
DarkGate se distingue aussi par un chiffrement unique, qui s’appuie sur une version personnalisée de l’encodage Base64, utilisé pour convertir des données binaires en une chaîne de caractères. Grâce à des caractères personnalisés, les pirates ont transformé une méthode d’encodage facile à décoder en langage chiffré.
D’après l’enquête menée par Kapsersky, le ransomware est en cours de développement depuis 2017. Sur un forum du dark web, un hacker affirme avoir passé plus de 20 000 heures à mettre le logiciel au point. Il a donc décidé de mettre celui-ci en vente et d’en faire la publicité sur la face cachée d’Internet.
Des attaques en forte hausse
Le nombre d’attaques par ransomware continue d’augmenter. D’après les constatations de ReliaQuest, les pirates ont accentué la pression sur les entreprises au cours du deuxième trimestre de 2023. Les chercheurs ont remarqué une augmentation de 64,4 % du nombre de victimes. Le mois de mai 2023 signe également un triste record avec 600 victimes revendiquées par les cybercriminels. Lors du précédent trimestre, les chercheurs avaient déjà constaté une hausse des infections de 22,4 %.
Cet accroissement s’explique par la création de nouvelles tactiques sophistiquées, l’apparition de nouveaux gangs, comme Royal, et l’essor des ransomware en tant que service (RaaS). Par ailleurs, plusieurs groupes redoutables sont restés très actifs au second trimestre, note le rapport de ReliaQuest. C’est le cas de LockBit, qui vise désormais aussi les Macs, et de Clop. Tous ces facteurs ont contribué à « une croissance soudaine des opérations » des pirates.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : SecureList
