Le ransomware Reveton
Date : 05 Février 2013
On appelle communément « ransomwares » ou « rançongiciels », des malwares qui, après avoir compromis un système, exercent un chantage en verrouillant le système de la victime jusqu’à ce que l’utilisateur verse une certaine somme d’argent. D’autres variantes du même principe consistent par exemple, à chiffrer tous les documents stockés sur le disque dur, et à ne les rendre à nouveau lisibles qu’en échange d’une rançon. Il est généralement admis que les ransomwares modernes sont apparus d’abord dans les pays d’Europe de l’est (surtout en Russie) aux alentours de 2006, et qu’au fil des années ils se sont généralisés, d’abord à l’Europe toute entière, puis à l’Amérique du nord courant 2012.
Dans le présent article, nous abordons le cas de Reveton, probablement le ransomware le plus connu et le plus rentable, mais surtout un des événements marquants de 2012 du point de vue de l’évolution des menaces informatiques.
Nota : Il existe d’après Symantec une bonne vingtaine de variantes assez similaires de ce cheval de Troie, détail dans lequel nous ne sommes pas entrés pour éviter de complexifier notre présentation. Nous appellerons donc dans la suite de cet article « Reveton » l’une ou l’autre de ces variantes, sans distinction.
Présentation
C’est en 2011 que Reveton, souvent appelé BKA dans sa version allemande, a été découvert. Le phénomène des ransomwares n’était alors pas nouveau c’est vrai, mais Reveton était original vis-à-vis des techniques d’intimidation employées. En effet, lorsque le système se retrouve infecté, un message est présenté à l’utilisateur lui signalant que les forces de police locales ont constaté des actions illégales réalisées depuis son poste (téléchargement de matériel pédopornographique, piratage de logiciel ou contrefaçon de contenu audio/vidéo soumis au droit d’auteur …). Le message est affiché dans une page web plein écran en avant-plan, le code malveillant ferme le gestionnaire des tâches chaque fois qu’on tente de le lancer, et bloque le processus « explorer.exe », afin qu’il ne soit plus possible de faire quoi que ce soit sur le système. Le message stipule que le poste sera débloqué si une amende (de l’ordre de 100 à 200 euros) est payée via divers systèmes anonymes de transfert d’argent difficiles à tracer. Les divers retours d’expérience que l’on trouve sur Internet montrent que, même lorsque la somme est payée, le système n’est pas forcément pour autant débloqué et encore moins débarrassé de toute trace du malware.
Afin d’augmenter davantage la pression et la sensation de « peur » exercée, les dernières versions de Reveton sont capables de détecter la présence d’une webcam sur le système infecté, et grâce à elle, de présenter une photo de la victime à l’écran en plus du message de demande de paiement. Certaines variantes encore, affichent des logos de sociétés éditrices d’antivirus pour que le message apparaisse encore plus sérieux et instille un sentiment de crainte.
Paiement de la rançon, monétisation de la fraude
Pour débloquer un système infecté, Reveton demande à la victime de payer une amende via un service Internet de paiement anonyme ou plus couramment, via une solution de type « carte prépayée ». Le fonctionnement serait donc le suivant :
- Après avoir vu son poste se verrouiller, la victime se rend à un point de vente local (marchand de journaux, bureau tabac …) et achète, en échange d’argent liquide, un bon d’une certaine valeur. Par exemple, le service Paysafecard (www.paysafecard.com) propose à la vente des bons de 10, 25, 50 ou 100 euros).
- Elle entre ensuite le code inscrit sur le coupon composé d’une suite de 15 à 20 chiffres (cela dépend des services) dans le champ prévu à cet effet sur l’écran de verrouillage affiché par le malware Reveton.
- Selon les cas, l’ordinateur peut effectivement être débloqué, mais un certain nombre d’articles sur Internet rapportent que ce n’est en fait pas souvent le cas.
La monétisation de la fraude repose exclusivement sur le fait que la victime se retrouve effrayée par le message, voire paniquée, et que dans ce contexte, elle ne cherchera pas d’aide extérieure et décidera de payer sans réflexion supplémentaire. Les éléments suivants, bien spécifiques des "scarewares" (logiciels visant à créer une peur chez l'utilisateur), sont utilisés :
- L’invocation d’actes graves (pornographie illégale, piratage de logiciel) est destinée à donner un sentiment de honte à la victime ignorante, qui n’ira de ce fait pas raconter son problème à un tiers. Extrait d’après Kaspersky d’un message affiché par le Trojan BKA : "pages containing pornography, child pornography, bestiality and violence against children were visited".
- La peur est stimulée par des logos de la police locale et l’affichage d’informations techniques (adresse IP, fournisseur d’accès …) ou de la photo de la victime prise via sa propre webcam.
- Un sentiment d’urgence est instillé : “The payment must be made within 24 hours. If the payment is not made in the allotted time, your hard disk will be irrevocably formatted (erased)”.
Les revenus des opérations de Reveton seraient assez considérables et certains sites, tels que le blog de Brian Krebs ou celui de Symantec, se hasardent à donner quelques chiffres sur la base d’informations recueillies sur des serveurs C&C utilisés par Reveton :
- En moyenne, 2,9% des utilisateurs dont le poste a été compromis paieraient la rançon (rappelons-le de l’ordre de 100 à 200 euros),
- Une investigation menée par Symantec sur un petit acteur de cette menace a identifié 68.000 postes infectés en un seul mois, ce qui pourrait correspondre à $400.000 de revenus.
- Une pointe dans l’activité de cette menace aurait conduit à 500.000 tentatives d’infections Reveton en 18 jours.
- Enfin, Symantec donne une estimation basse des revenus annuels générés globalement par Reveton et invoque des recettes de l’ordre de 5 millions de dollars, le chiffre réel étant probablement bien supérieur.
Propagation et infection
Tous les chercheurs en sécurité ne sont pas complètement d’accord sur les mécanismes d’infection et de propagation de Reveton, mais il semble, d’après la majorité d’entre eux, que le code soit installé au travers du kit d’exploits BlackHole. Le scénario d’infection serait donc le suivant :
- Un utilisateur victime se rend sur un site légitime compromis ou bien, à un moment donné de sa navigation, est redirigé vers un site spécialement conçu par un pirate pour héberger le kit BlackHole.
- Le kit d’exploit BlackHole (généralement un gros bloc de code JavaScript et HTML obscurci) scanne le navigateur web de cette victime à la recherche de failles connues soit dans le navigateur lui-même ou dans des plug-ins tiers (Java, Flash, Adobe Reader …)
- Si une faille non corrigée est trouvée, BlackHole lance sur le système un code de type « dropper » qui se chargera à son tour d’installer Reveton ainsi qu’éventuellement d’autres chevaux de Troie ou portes dérobées (voir le paragraphe suivant).
Une double infection
Il a été rapporté, notamment par le FBI, que Reveton était distribué sur les systèmes victimes en même temps que Citadel, une variante du fameux cheval de Troie voleur d’informations : Zeus. Il s’agit d’une technique assez courante mais surtout "intéressante" permettant d’améliorer encore le rendement du réseau d’ordinateurs infectés. En effet, en supposant que Reveton ait pu être supprimé (il existe une procédure technique assez simple pour cela), l’ordinateur reste infecté par Citadel, un code plus avancé et pour le coup, extrêmement difficile à éradiquer ; cela permet aux pirates d’en garder le contrôle plus longtemps, pour des fraudes à l’encontre de banques en ligne par exemple. Citadel est capable d’intercepter des identifiants de connexion à des sites de banques en ligne, de capturer des numéros de cartes de crédit, d’utiliser des techniques de type WebInject (injection à la volée de formulaires de saisie dans des pages web) pour récupérer des informations sensibles.
Un malware localisé
Reveton se base sur l’adresse IP publique du poste infecté pour adapter ses messages en fonction du pays dans lequel la victime se trouve. En Allemagne, le message apparait avec un logo de la police fédérale, en Grande Bretagne avec celui de la « Metropolitan Police », aux Etats-Unis avec celui du FBI. Même les moyens proposés pour le paiement de la prétendue amende varient selon le pays dans lequel on se trouve (on peut imaginer que le choix est fonction de la popularité voire du nombre de revendeurs de cartes prépayées pour le service dans le pays en question) : en Allemagne, ce sont les services Ukash et Paysafe qui sont proposés, tandis qu’aux Etats-Unis MoneyPak et Paysafecard semblent être privilégiés.
Nota : Le site botnet.fr fournit une galerie d’images conséquente permettant d’avoir un aperçu des messages affichés par Reveton selon le pays victime d’infection.
Conclusion
Les infections par le malware Reveton montrent une fois de plus qu’il est primordial de disposer d’un système de sauvegarde efficace des postes de travail en entreprise. Cela est d’autant plus important que des ransomwares davantage sophistiqués peuvent chiffrer les documents du système et ne les libérer que si la rançon est payée. On notera également pour Reveton que s’il est facile de retirer la partie ransomware (partie visible) de l’infection et de rendre à nouveau le système utilisable, il n’en reste pas moins que le poste peut être compromis par d’autres codes malveillants associés dans la même attaque. Il est alors probablement assez illusoire d’envisager une désinfection du système, et une réinstallation complète sera nécessaire.
D’autre part, nous notons que la sophistication des attaques Reveton est impressionnante : au-delà du principe simple de demande de rançon, on constate un réel professionnalisme lorsqu’on considère le schéma global de monétisation du réseau :
- combinaison de plusieurs codes malveillants pour permettre une plus grande diffusion et une présence plus longue sur les systèmes infectés,
- modification des messages affichés en fonction de la localisation géographique de la victime,
- utilisation de techniques d’intimidation,
- utilisation de systèmes de paiement locaux et anonymes,
- …
Enfin, nous avons appris en décembre 2012 que 3 personnes responsables de fraudes via ce malware ont été arrêtées en Angleterre, mais cela ne constitue qu’une infime partie des infections rapportées cette année dans le monde entier. Par conséquent, et en dépit d’initiatives intéressantes telles que StopRansomware.fr (un site permettant notamment de signaler ce type d’arnaques), il est à parier que les ransomwares continueront de générer beaucoup d’argent en 2013, et qu’on les verra évoluer … peut-être vers le monde des smartphones ?