GandCrab : gloire et déchéance d’un ransomware

Sécurité
gandcrab-ransomware

Figure majeure du paysage des rançongiciels en 2018, GandCrab arrive en fin de vie, à l’issue d’une lutte organisée à l’échelle mondiale.

La menace GandCrab, bientôt éradiquée ?

Une nouvelle étape vient d’être franchie dans la lutte contre cette famille de rançongiciels qui sévit depuis début 2018.

Le FBI a mis à disposition des membres de son programme InfraGard trois clés cryptographiques sur lesquelles se fondent les dernières versions de GandCrab (4 à 5.2).

Ces clés permettront le développement d’outils de déchiffrement qui aideront les victimes à récupérer l’accès à leurs données.

De tels outils existent déjà. Notamment sur la plate-forme No More Ransom, née sous l’impulsion de la police néerlandaise, d’Europol et de McAfee.

Celui destiné aux victimes de GandCrab* a récemment été mis à jour (17 juin). Il permet désormais de contrer les versions les plus récentes du ransomware.

On ignore s’il s’appuie sur les mêmes clés que celles publiées par le FBI.
Sa mise à disposition coïncide en tout cas avec l’arrêt des activités des développeurs de GandCrab.

Ces derniers l’ont officialisé le 1er juin. Ils ont affirmé, à cette occasion, que le ransomware a permis de collecter plus de 2 milliards de dollars de rançons. Et se sont félicités de « partir en retraite bien méritée ».

À l’usure

Du côté d’Europol et des forces de l’ordre associées à l’initiative No More Ransom, on se félicite aussi de ce départ en retraite. Et plus précisément de l’avoir provoqué, en « affaiblissant » les développeurs de GandCrab à force d’opérations conjointes.

On peut supposer que les clés cryptographiques ont été récupérées sur le centre de commande (C&C) du ransomware, déjà infiltré à plusieurs à plusieurs reprises.

GandCrab avait fait ses premières victimes officielles fin janvier 2018. Initialement caché dans des pièces jointes et des bannières publicitaires, il avait la particularité d’exiger les rançons en cryptomonnaie Dash. Les développeurs percevaient une commission sur chacune de ces rançons.

En un an et demi, le ransomware a évolué notamment au niveau des techniques de chiffrement utilisées. D’AES-256-CBC, il est passé à l’algorithme Salsa20 (versions 4 et ultérieures).
Sa cible s’est également réduite avec le temps, se restreignant aux fichiers pesant au plus 1 Mo.

gandcrab-versions

* Europol estime que l’outil a aidé 30 000 victimes à ne pas verser un cumul d’environ 50 millions de dollars en rançons.

Photo d’illustration © tuaulamac via Visualhunt / CC BY-NC-SA

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur