Actif depuis 2016, le ransomware Dharma continuait l’an dernier à faire parler de lui : dans l’Hexagone il a en août dernier été responsable de la paralysie de Ramsay Générale de Santé. Son code source a été mis en vente sur des forums russes ce week-end, pour 2000 dollars. Les chercheurs craignent un effet Mirai, mais y voient aussi l’occasion de décortiquer ce programme malveillant et d’y trouver de nouvelles parades.
Dharma est apparu en 2016 sous le nom de CrySiS. Ce ransomware, distribué "as a Service", aux variantes nombreuses et plus ou moins virulentes, a connu un pic mi-2019 nous apprend le rapport de l’Anssi sur les rançongiciels. « Responsable d’un quart des infections détectées en 2018, Dharma est probablement proposé à bas prix » estime le SSI de l’Etat, qui ajoute que certains des attaquants ayant recours à ce ransomware ne le maîtrisent pas, tant et si bien qu’ils se sont trouvés bien incapables après paiement de la rançon de déchiffrer les fichiers de leurs victimes.
Malgré ses nombreuses déclinaisons, là encore plus ou moins maîtrisées, Dharma se répand par le biais de pièces jointes malveillantes ou de liens dans des emails de spam, déguisé en fichier d’installation de logiciels légitimes, notamment d’antivirus, distribués en ligne et, surtout, ce ransomware est diffusé manuellement, lors d’attaques ciblées exploitant des authentifiants RDP (Remote Desktop Protocol) faibles ou préalablement compromis.
Chiffrement fort
Une fois dans le système, Dharma crée des entrées de registres afin de maintenir sa persistance et chiffre pratiquement tous les types de fichiers, exceptés les fichiers système et les autres programmes malveillants, sur le terminal cible, ses périphériques externes et les réseaux partagés. La particularité de Dharma est que son algorithme de chiffrement est particulièrement solide (AES-256 combiné avec du chiffrement asymétrique RSA-1024) : les rares fois où il a pu être déchiffré, en 2016 et en 2017, le code n’avait pas été cassé mais les clés de chiffrement divulguées.
Et voici donc que, d’après plusieurs chercheurs en cybersécurité, le code source du ransomware a été mis en vente sur des forums utilisés par des hackers russes. Et pour une somme modique compte tenu de la réputation de ce ransomware : 2000 dollars. Chez les éditeurs, deux sons de cloche se font entendre. D’une part, certains redoutent un effet Mirai, du nom de ce botnet dont le code source avait été publié, donnant la possibilité au moins habile des cybercriminels de créer son petit botnet à moindre frais. Mais d’autres y voient l’opportunité pour les spécialistes en cyber de se pencher sur ce code source, de le décortiquer et d’y découvrir les meilleures méthodes pour contrer cette souche de ransomware.