Ransom32 : le premier ransomware JavaScript inquiète les chercheurs en sécurité

Pour « Junkcan », utilisateur du forum de BleepingComputer.com, le passage à la nouvelle année a été plutôt amère. Quelques jours avant le réveillon, il découvre que les données de son PC sous Windows 10 ont été chiffrées par un ransomware d’un type nouveau et que beaucoup de logiciels antivirus actuels ne détectent pas encore.

Baptisé « Ransom32 », c’est le premier rançongiciel écrit en JavaScript. Il s’appuie sur le framework NW.js qui permet d’utiliser ce langage Web pour créer de vraies applications « Desktop ». Contrairement aux services Web, qui s’exécutent dans un bac à sable du navigateur, celles-ci ont accès à toutes les ressources de la machine.

Pour le pirate, le principal avantage est que NW.js est multiplateforme. Le même code malveillant peut être diffusé aussi bien sur Windows que sur Mac OS X ou Linux, ce qui lui permet de toucher une population d’utilisateurs beaucoup plus large.

Un effet de levier que les chercheurs de BleepingComputer trouvent plutôt inquiétant, même si pour l’instant les pirates semblent se contenter de cibler le système de Microsoft. « Un autre grand avantage pour le pirate est que NW.js est un framework légitime. Il n’est donc pas étonnant que la détection par signature soit toujours si incroyablement mauvaise deux semaines après la création du malware », explique Fabian Wosar, chercheur en sécurité chez Emsisoft, dans une note de blog. Actuellement, un peu moins de la moitié des 54 éditeurs référencés par VirusTotal.com détectent Ransom32.

Double chiffrement

L’architecture fonctionnelle de ce malware, en revanche, est assez classique. Une fois installé, il entre en contact avec le serveur de commande et contrôle, au moyen d’un client Tor embarqué. Après avoir récupéré les éléments cryptographiques, les données sont chiffrées en AES 128 bit. Le malware utilise pour chaque fichier une clé de chiffrement différente. Celle-ci est ensuite chiffrée à son tour par une clé publique RSA du pirate. La clé privée correspondante n’étant pas stockée sur la machine, il est impossible de déchiffrer les données sans l’aide de ce dernier. 

A noter, enfin, que Ransom32 fait partie de la famille sans cesse grandissante des « ransomware-as-a-service ». Création et gestion du malware sont totalement automatisées, tout se faisant en ligne. Pas besoin de savoir coder pour le diffuser. En contrepartie, le gestionnaire de la plateforme d’administration se prend une marge de 25 % sur les paiements effectués par les victimes. En mai 2015, McAfee avait déjà détecté une première plateforme de ce type, sous le nom de « Tox ».