Au sein de la lutte incessante contre les menaces cybernétiques, l’équipe d’intelligence des menaces cyber de Stormshield a récemment mis au jour une activité rançongicielle en Asie. L’analyse poussée de ce cas a permis de le classifier dans la famille de malwares déjà connue sous les noms de « Crypt888 », « Strictor », « Nymeria » entre autres. Ce retour sur le devant de la scène de « Crypt888 » est l’occasion pour le laboratoire de sécurité des clients de Stormshield de dévoiler les dessous techniques de cette attaque par rançon.

Il a été constaté que le nom « 888 » reflète une caractéristique technique propre au malware.

La porte d’entrée du ransomware Crypt888

Notre enquête a commencé par l’examen minutieux de deux échantillons de malware:

* 2e0f1385a0eb72f189c3d3cffa38020d71370ab621139c5688647c5bab6bc7f2
* ba2598fdd2e5c12e072fbe4c10fcdc6742bace92c0edba42ca4ca7bc195cb813

Deux méthodes d’infiltration ont été découvertes durant l’analyse. Pour l’une, le fichier se déguise en installateur du navigateur web Google Chrome, pour l’autre, il prend l’apparence d’un document PDF.

Lorsqu’il se masque en installateur de Google Chrome, le malware se présente sous la forme d’un exécutable arborant l’icône caractéristique de Chrome. S’agissant de la seconde méthode, le fichier malveillant est baptisé « Academics.pdf.exe ». Sous une session Windows paramétrée par défaut, l’explorateur de fichiers masque les extensions connues, laissant l’utilisateur face à un icône suggestif sans percevoir qu’il s’agit d’un exécutable et non d’un document PDF.

L’analogie peut être utile pour comprendre cet artifice : c’est comme si un cambrioleur prenait l’apparence de votre livreur de colis pour vous convaincre de lui ouvrir votre porte.

Si cet article concerne le grand public, un conseil est d’autant plus pertinent : soyez vigilant et n’installez que des programmes provenant de sources officielles et réputées pour sécuriser vos informations personnelles. De surcroît, adjustez les paramètres de votre explorateur de fichiers pour qu’il affiche les extensions, permettant ainsi de détecter les fichiers exécutables déguisés.

Cet incident met en relief l’importance de rester alerte et informé sur les pratiques de cybersécurité, pour mieux déjouer les pièges tendus par les cybercriminels.

En somme, cet épisode est un rappel clair de la nécessité d’une vigilance accrue en matière de sécurité informatique et de l’importance d’éduquer le grand public sur les risques et les méthodes de prévention liés au monde connecté.