Aleta ransomware rejoint la famille BTCWare (2/2)

6 Nov 2017
Mickaël Ripoll,

Consultant SSI

144
0

À l’attention des lecteurs

Cet article est la seconde partie d’un article consacrée à Aleta Ransomware. Nous vous invitons à consulter la première partie ici si ce n’est déjà fait.

Aspect technique

CHIFFREMENT

Rassurez-vous, nous n’allons pas aborder les principes algorithmiques de chiffrement, avec les fonctions mathématiques associées. Cela demande une connaissance de notions qui ne seront pas abordées dans cet article.

Ici nous allons plutôt essayer de comprendre comment un ransomware arrive à chiffrer les données d’une machine infectée, et pourquoi est-ce qu’il est nécessaire d’avoir une clé possédée par l’attaquant pour pouvoir déchiffrer les données de toutes les victimes.

Rappel : pour les algorithmes de chiffrement asymétrique nous avons une paire de clé : une clé publique et une clé privée. Si l’on chiffre des données avec la clé publique, la seule clé permettant le déchiffrement des données est la clé privée. À une clé publique est associée une clé privée, et réciproquement. Pour les algorithmes de chiffrement symétrique, une seule clé est générée ; cette clé est utilisée pour le chiffrement des données, et seule cette même clé permet le déchiffrement de ces données chiffrées.

Sachez tout d’abord que le principe qui va suivre n’est pas vrai pour tous les ransomwares, mais l’est de manière générale. Nous aborderons d’abord le fonctionnement de WannaCry pour pouvoir faire un comparatif entre les ransomwares plus « classiques » et WannaCry qui a beaucoup fait parler de lui, et ensuite nous le comparerons au principe des ransomwares classiques (on commence par le plus compliqué, ça sera plus facile pour la suite !).

Le Hacker possède une paire de clé, générée à partir d’un algorithme de chiffrement asymétrique (RSA) : Hprv et Hpub. Hpub est la clé publique stockée sur le serveur malveillant ; elle peut être connue de tous, cela ne posera aucun problème. En revanche, la localisation de Hprv est supposée connue uniquement du Hacker, c’est sa clé privée.

Lorsque WannaCry infecte l’ordinateur de notre Victime, il génère une paire de clé, toujours à partir d’un algorithme de chiffrement asymétrique (RSA) : Vprv et Vpub. De plus, une clé est générée à partir d’un algorithme de chiffrement symétrique (AES) : Vchiff.

Vchiff est générée pour chiffrer toutes les données ciblées sur le poste infecté. La paire de clé Vprv et Vpub est générée pour chiffrer Vchiff avec la clé publique de la Victime. La seule clé qui permet le déchiffrement de la clé ayant chiffré les données (Vchiff donc) est la clé associée à la clé publique Vpub, c’est-à-dire la clé privée de la Victime : Vprv.

Cette clé privée, Vprv va être elle-même chiffrée par la clé publique du Hacker, Hpub, et ne pourra être déchiffrée qu’avec la clé privée associée, connue uniquement par le Hacker, Hprv.

Je vous ai perdu ? Voici un schéma pour que vous puissiez mieux comprendre !

Le serveur du Hacker génère une paire de clés associées, par chiffrement asymétrique. Lorsque l’une chiffre une information, seule la seconde permet de déchiffrer celle-ci.

 

WannaCry génère une paire de clés associées, par chiffrement asymétrique. Le principe est similaire à la paire de clés du Hacker. Le ransomware va également générer une clé de chiffrement symétrique, qui permet de chiffrer une information, mais qui peut également déchiffrer l’information qu’elle a chiffré.

Finalement, lorsque WannaCry chiffre les données de ses victimes, le résultat est le suivant :

Là encore, vous pourriez demander « et Aleta alors ? Cet article n’est pas supposé parler de cette famille-là ? », mais il était plus intéressant d’aborder cet aspect un peu compliqué pour pouvoir mieux assimiler la façon dont la majorité des ransomwares fonctionnent !

Et c’est très simple, les autres ransomwares ne génèrent pas Vprv et Vpub ! Donc si on reprend le schéma ci-dessus, il n’y a pas de boîte devant être déverrouillée par la clé violette Vprv, mais directement la boîte rouge foncée devant être déverrouillée par Hprv !

Nous l’avons vu précédemment : lorsqu’un ransomware infecte un utilisateur, devenu Victime, il obtient un identifiant unique. Cet identifiant est une suite d’informations, dont l’une d’entre elles est la fameuse clé Vchiff qui a chiffré toutes les données de la Victime. Cette suite d’informations est ensuite chiffrée avec la clé publique du Hacker, Hpub, ce qui donne une suite de caractère sans réel sens. La « master key » permettant de déchiffrer les données est donc en réalité la clé privée du Hacker, Hprv, qui est la seule clé permettant de donner un sens à l’identifiant des victimes, sens qui leur offre leur clé Vchiff pouvant déchiffrer leurs données.

C’est pour cette raison que l’objectif de certains investigateurs est de réussir à remonter jusqu’au serveur des criminels afin de leur subtiliser la clé Hprv, qui permet de créer un outil de déchiffrement des données des victimes, basé sur l’identifiant de celles-ci et la clé privée du Hacker.

Lorsque le Hacker accepte de rendre les données aux victimes, il déchiffre tout simplement l’identifiant de la Victime ayant payé la rançon et le lui transmet. Dans le cas de WannaCry, même si aucune victime n’a récupéré ses données car c’était, a priori, impossible, le Hacker aurait théoriquement dû récupérer la clé Vprv chiffrée pour la déchiffrer avec Hprv et ensuite restituer la clé en clair à la Victime.

La partie sur le chiffrement est terminée ! Soyez rassurés, la suite provoquera moins de maux de tête.

Conclusion

BUSINESS MODEL DE CES HACKERS

Le plus étrange chez ces criminels pourrait être leur modèle de business assez atypique, outre la séquestration de données. La fameuse « master key » de BTCWare a été révélée le 3 mai 2017 ; généralement, les attaquants dévoilent une « master key » lorsqu’ils finissent de travailler sur une nouvelle version de ransomware ; l’ancienne version ne leur étant plus rentable, ils se permettent de révéler la clé permettant le déchiffrement des données. Il est aussi possible que celle-ci soit révélée par un groupe de hackers souhaitant mettre un terme au business de leur concurrent.

On peut donc espérer que fin du troisième trimestre 2017 la clé tant attendue pour déchiffrer les données des victimes d’Aleta soit révélée … avec de la chance. Lorsque ce sera le cas, il faudra s’attendre à une nouvelle version du ransomware, qui pourra exploiter différents moyens d’infection et de propagation, et demandera sûrement une rançon encore plus importante. Nous pouvons aussi espérer que des experts en cybersécurité mettent la main sur le serveur hébergeant la fameuse clé privée des criminels (vous vous souvenez ? Nous parlons de Hprv).

BONNES PRATIQUES

Digitemis possède un service de réponse à incident : Digitemis SOS. Ces pompiers du numérique ont mis en place des recommandations, afin d’éviter une infection :

– N’ouvrez pas les courriels dont vous ignorez l’origine,
– Ne téléchargez pas les pièces jointes des courriels douteux,
– Ne communiquez pas d’informations sur l’entreprise à des personnes dont vous ne pouvez pas confirmer l’identité,
– Ayez des mots de passe :
¤ Uniques,
¤ D’une longueur supérieure à 8 caractères,
¤ Mélangeant des chiffres, des lettres et des caractères spéciaux,
¤ Connus de vous seul.

Et si vous êtes victime, ne paniquez pas et suivez les gestes de premiers secours de Digitemis SOS !