Une version d’un kit d’outils de rançongiciel open source appelé cryptonite a été observé dans la nature avec des capacités d’essuie-glace en raison de sa « faiblesse de l’architecture et de la programmation ».
cryptonite, contrairement à d’autres souches de rançongiciels, n’est pas disponible à la vente sur le réseau souterrain des cybercriminels et était proposé gratuitement par un acteur nommé CYBERDEVILZ jusqu’à récemment via un référentiel GitHub. Le code source et ses fourches ont depuis été supprimés.
Écrit en Python, le logiciel malveillant utilise le Module Fernet du package de cryptographie pour chiffrer les fichiers avec une extension « .cryptn8 ».
Mais un nouvel échantillon analysé par Fortinet FortiGuard Labs s’est avéré verrouiller les fichiers sans possibilité de les décrypter, agissant essentiellement comme un effaceur de données destructeur.
Mais ce changement n’est pas une tentative délibérée de la part de l’acteur de la menace, mais découle plutôt d’un manque d’assurance qualité qui fait planter le programme lors de la tentative d’affichage de la note de rançon après avoir terminé le processus de cryptage.
« Le problème avec cette faille est qu’en raison de la simplicité de conception du rançongiciel si le programme plante – ou est même fermé – il n’y a aucun moyen de récupérer les fichiers cryptés », a déclaré Gergely Revay, chercheur chez Fortinet. a dit dans un article du lundi.
L’exception levée lors de l’exécution du programme rançongiciel signifie également que la « clé » utilisée pour chiffrer les fichiers n’est jamais transmise aux opérateurs, excluant ainsi les utilisateurs de leurs données.
Les résultats viennent dans le contexte d’un paysage de ransomwares en évolution où des essuie-glaces sous le couvert de logiciels malveillants de cryptage de fichiers sont de plus en plus déployés pour écraser les données sans permettre le décryptage.