Pour gérer vos consentements :
Categories: Sécurité

GandCrab : gloire et déchéance d’un ransomware

La menace GandCrab, bientôt éradiquée ?

Une nouvelle étape vient d’être franchie dans la lutte contre cette famille de rançongiciels qui sévit depuis début 2018.

Le FBI a mis à disposition des membres de son programme InfraGard trois clés cryptographiques sur lesquelles se fondent les dernières versions de GandCrab (4 à 5.2).

Ces clés permettront le développement d’outils de déchiffrement qui aideront les victimes à récupérer l’accès à leurs données.

De tels outils existent déjà. Notamment sur la plate-forme No More Ransom, née sous l’impulsion de la police néerlandaise, d’Europol et de McAfee.

Celui destiné aux victimes de GandCrab* a récemment été mis à jour (17 juin). Il permet désormais de contrer les versions les plus récentes du ransomware.

On ignore s’il s’appuie sur les mêmes clés que celles publiées par le FBI.
Sa mise à disposition coïncide en tout cas avec l’arrêt des activités des développeurs de GandCrab.

Ces derniers l’ont officialisé le 1er juin. Ils ont affirmé, à cette occasion, que le ransomware a permis de collecter plus de 2 milliards de dollars de rançons. Et se sont félicités de « partir en retraite bien méritée ».

À l’usure

Du côté d’Europol et des forces de l’ordre associées à l’initiative No More Ransom, on se félicite aussi de ce départ en retraite. Et plus précisément de l’avoir provoqué, en « affaiblissant » les développeurs de GandCrab à force d’opérations conjointes.

On peut supposer que les clés cryptographiques ont été récupérées sur le centre de commande (C&C) du ransomware, déjà infiltré à plusieurs à plusieurs reprises.

GandCrab avait fait ses premières victimes officielles fin janvier 2018. Initialement caché dans des pièces jointes et des bannières publicitaires, il avait la particularité d’exiger les rançons en cryptomonnaie Dash. Les développeurs percevaient une commission sur chacune de ces rançons.

En un an et demi, le ransomware a évolué notamment au niveau des techniques de chiffrement utilisées. D’AES-256-CBC, il est passé à l’algorithme Salsa20 (versions 4 et ultérieures).
Sa cible s’est également réduite avec le temps, se restreignant aux fichiers pesant au plus 1 Mo.

* Europol estime que l’outil a aidé 30 000 victimes à ne pas verser un cumul d’environ 50 millions de dollars en rançons.

Photo d’illustration © tuaulamac via Visualhunt / CC BY-NC-SA

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago