On a souvent tendance à penser que les utilisateurs d’ordinateurs Apple sont globalement à l’abri des malwares. C’est à moitié vrai : les cybercriminels se concentrent principalement sur les PC, qui constituent la majorité du parc de machines en activité et permettent donc de mieux rentabiliser le développement de malwares. Mais les malwares pour Mac ne sont pas pour autant inexistants : comme le montre la récente analyse de Fortinet, certains cybercriminels n’hésitent ainsi pas à développer leurs ransomwares pour la plateforme d’Apple.
Mais on est loin de voir venir un WannaCry façon Apple. Comme le montre Fortinet, le ransomware analysé s’appuie sur un modèle de type Raas, ou Ransomware as a service. Cette méthode permet à des cybercriminels avec peu de connaissances techniques de se procurer un malware clef en main en l’échange d’une rétribution financière de la part de l’auteur du malware.
Un portail est ainsi en ligne et accessible via Tor, qui permet de prendre contact avec les développeurs pour recevoir une copie de leur ransomware, ce que les chercheurs de Fortinet ont fait. Comme souvent dans ce type de modèle, c’est au client du service de se charger de l’infection de ses victimes : le développeur livre simplement un exécutable et l’infection reste à la charge du client.
Le modèle économique rappellera ainsi des souvenirs aux développeurs de l’App Store : sur chaque infection, le créateur du malware prend 30% de commission. Le ransomware demande en moyenne 0.25 bitcoin, soit environ 700 dollars. Une somme relativement raisonnable qui indique que ce ransomware vise principalement des particuliers et individus.
Mais celui-ci souffre de nombreuses limitations. D’une part, le ransomware ne peut pas chiffrer la totalité des fichiers de la victime et devra se limiter à 128 fichiers. D’autre part, le chiffrement utilisé est une technique de chiffrement symétrique, ce qui signifie que la même clef est utilisée pour le chiffrement et le déchiffrement des fichiers.
Comme l’explique Fortinet, une fois que le ransomware a chiffré les fichiers de la cible, il supprime purement et simplement la clef de chiffrement de la mémoire de la machine. L’absence de mécanisme de contact vers un serveur de contrôle et de commande laisse les chercheurs en sécurité penser que le développeur du ransomware lui-même n’a aucun moyen de déchiffrer les fichiers passés par son programme.
0 comments:
Post a Comment