Les pirates informatiques ne cessent de développer des ransomwares. Les méthodes d’attaque nouvelles et créatives maintiennent les professionnels de la sécurité sur Internet en alerte et posent des problèmes aux personnes qui tentent de détecter les menaces. Les personnes touchées par un ransomware voient apparaître des messages leur demandant de payer pour restaurer l’accès à leurs fichiers. Le ransomware Popcorn Time adopte cependant une approche totalement différente pour impliquer les victimes.
Comment fonctionne le ransomware Popcorn Time
Des chercheurs en cybersécurité de MalwareHunterTeam a identifié Popcorn Time en 2016. Ils ont trouvé le ransomware en cours de développement et ont remarqué certaines caractéristiques inquiétantes.
La façon habituelle d’accéder aux fichiers après une attaque de ransomware est de payer la rançon demandée. Popcorn Time a demandé un bitcoin. Les victimes peuvent également étendre la portée des pirates en envoyant un lien de renvoi vers un ransomware à deux autres personnes.
Si ces personnes installaient le ransomware sur leur système et payaient la rançon, la victime initiale était censée recevoir une clé de décryptage gratuite. Cependant, les gens n’obtiennent pas nécessairement les résultats escomptés en se fiant aux promesses des pirates. Le paiement ne garantit pas l’accès aux fichiers.
De plus, comme l’a montré une étude réalisée par Cybereason en 2022, les cybercriminels peuvent recibler les victimes si elles acceptent de payer la rançon. Les résultats indiquent que 80 % des organisations qui ont payé des rançons ont dû faire face à de nouvelles attaques. Dans 68 % des cas, la deuxième attaque a eu lieu moins d’un mois plus tard. Environ 67 % de ces victimes répétées ont déclaré que les pirates avaient exigé des rançons plus élevées la fois suivante.
Les victimes se transformeraient-elles en agresseurs ?
L’approche du ransomware Popcorn Time repose sur la méthode du parrainage. Les gens ont l’habitude d’obtenir des réductions ou d’autres avantages en parlant à d’autres des services ou des produits qu’ils connaissent et apprécient. De nombreux utilisateurs de médias sociaux élargissent leur champ d’action en publiant des messages de recommandation sur leur profil, attirant ainsi l’attention d’autres personnes que leurs amis proches ou leurs connaissances.
Qu’une personne envoie le lien du ransomware par courrier électronique, par WhatsApp ou par une autre méthode, la plupart d’entre elles hésiteraient à le distribuer d’une manière qui permette aux victimes de les identifier facilement comme étant les auteurs de l’attaque. Aux États-Unis, la législation considère les attaques par ransomware comme des délits passibles de lourdes amendes et de peines de prison.
Même ceux qui choisissent d’envoyer les liens à des personnes qu’ils connaissent s’exposent à des conséquences désastreuses au-delà de l’application de la loi. Ces conséquences peuvent inclure la perte d’un emploi ou d’une relation.
À quoi ressemble le ransomware Popcorn Time ?
Un message d’avertissement s’affiche pour toute personne infectée par ce ransomware. L’étrangeté de son formatage peut empêcher d’autres personnes de s’engager dans le lien partagé du ransomware. Il ne comporte pas de « www » et se présente comme une très longue chaîne aléatoire de lettres et de chiffres.
Il est vrai que les gens connaissaient moins bien les tactiques des cybercriminels lorsque les chercheurs ont découvert ce ransomware. Cependant, beaucoup savaient encore reconnaître les adresses de sites web légitimes.
Un bitcoin coûtait environ 966 dollars à la fin de l’année 2016, selon un graphique de Statista sur les fluctuations du cours de la crypto-monnaie. C’est un montant incroyablement faible dans le contexte des nouveaux ransomwares.
Qui a créé le ransomware Popcorn Time ?
Popcorn Time se distingue également par un autre aspect. Les développeurs se sont présentés comme des étudiants syriens en informatique qui ont perdu chacun un membre de leur famille dans la guerre syrienne. Leur message mentionnait l’utilisation de toutes les recettes du ransomware pour payer la nourriture, le logement et les médicaments dans le pays.
Il s’agit là d’un cas relativement rare, car les pirates sont censés utiliser les paiements des ransomwares pour des raisons autres que le gain financier personnel. C’est un peu comme si des activistes utilisaient des ransomwares pour obtenir des résultats spécifiques. Un article de ZDNet a décrit un cas de 2022 où des activistes ont exigé la libération de prisonniers politiques et l’interdiction de l’entrée des troupes russes au Belarus en échange de clés de chiffrement données aux chemins de fer biélorusses ciblés.
Tous ces détails mis à part, il semble peu probable qu’un nombre important de victimes aide les pirates à diffuser Popcorn Time. Les deux principales raisons sont le format inhabituel du lien et la facilité avec laquelle il est possible de remonter à l’expéditeur du contenu.
Protégez-vous contre les ransomwares
Les cybercriminels disposent déjà de nombreux moyens créatifs pour nuire à autrui sans vous impliquer. Nombreux sont ceux qui diffusent des logiciels malveillants par le biais de sites et de services populaires tels que TikTok et Discord. En ciblant d’importantes bases d’utilisateurs, les pirates ont plus de chances de faire de nombreuses victimes.
Les groupes de malwares profitent également de l’intérêt du public. Il suffit de penser à la manière dont l’un d’entre eux a intégré des fichiers dangereux dans une image capturée par le télescope James Webb. Des efforts similaires ont été déployés pour le contenu associé au COVID-19 et aux vaccins mis au point pendant la pandémie. Ce qu’il faut retenir, c’est que les pirates peuvent placer des logiciels malveillants dans presque n’importe quel contenu en ligne.
L’une des meilleures pratiques pour se protéger consiste à toujours conserver des sauvegardes de fichiers. Vous pourrez ainsi vous appuyer sur les copies des fichiers que les pirates ont dérobés et les restaurer.
Une étude d’IBM datant de 2023 suggère également que l’intervention des forces de l’ordre peut réduire les coûts liés aux atteintes aux droits de propriété intellectuelle (ransomware). Les détails indiquent que les parties qui ont fait appel à la police après ces cyberattaques ont payé 470 000 dollars de moins que celles qui ont tenté de gérer la situation de manière indépendante.
Cependant, la dure réalité est que les attaques modernes de ransomware se propagent souvent au-delà de vous-même ou de votre organisation.
Les escrocs évoluent, tout comme les pirates informatiques
Les pirates informatiques ne sont pas les seuls à utiliser des méthodes malhonnêtes pour inciter les gens à participer. ModernRetail explique comment les vendeurs obtiennent des avis sur leurs produits Amazon. L’une des options consiste à donner aux évaluateurs des produits gratuits en échange d’un retour d’information positif sur ces articles.
Toutefois, il est de plus en plus fréquent que des vendeurs envoient des produits non autorisés à des personnes, dans le cadre d’escroqueries dites de « brossage ». Ces articles prennent les destinataires par surprise et arrivent généralement sans adresse de retour. Ces marchands Amazon peu scrupuleux utilisent ensuite les informations associées aux destinataires de ces livraisons inattendues pour rédiger des avis sur leurs comptes.
Les développeurs de ransomwares modifient aussi régulièrement leurs méthodes, généralement en augmentant les risques encourus par ceux qui ne respectent pas les règles. Les ransomwares à triple extorsion en sont un excellent exemple. Ces attaques commencent comme prévu, les victimes recevant des demandes de rançon après avoir constaté l’inaccessibilité de leurs fichiers.
L’attaque se poursuit, même si les victimes paient. Après avoir payé, les pirates finissent par les recontacter, menaçant de divulguer des informations sensibles si les victimes ne versent pas davantage d’argent. Les cybercriminels étendent même leur champ d’action en contactant les associés de la victime, menaçant de rendre publiques des données privées s’ils ne paient pas à leur tour.
Les pirates ont encore évolué en permettant aux gens de déployer des ransomwares sans les créer. C’est le concept du ransomware en tant que service, qui permet d’acheter des logiciels malveillants prêts à l’emploi sur le dark web.
Les menaces vont au-delà de l’heure du pop-corn
Les personnes qui ont identifié le logiciel malveillant Popcorn Time l’ont trouvé inachevé, ce qui suggère que les pirates ne l’avaient pas encore déployé. Cependant, les caractéristiques inhabituelles mentionnées plus haut ont été leur principale source d’inquiétude.
Cet exemple et d’autres soulignent l’importance de rester vigilant et conscient des logiciels malveillants et des autres menaces. Juste au moment où vous pensez connaître les plus grandes cybermenaces, les pirates vous réservent très certainement des surprises désagréables.