GandCrab : gloire et déchéance d'un ransomware

Figure majeure du paysage des rançongiciels en 2018, GandCrab arrive en fin de vie, à l’issue d’une lutte organisée à l’échelle mondiale.

La menace GandCrab, bientôt éradiquée ?

Une nouvelle étape vient d’être franchie dans la lutte contre cette famille de rançongiciels qui sévit depuis début 2018.

Le FBI a mis à disposition des membres de son programme InfraGard trois clés cryptographiques sur lesquelles se fondent les dernières versions de GandCrab (4 à 5.2).

Ces clés permettront le développement d’outils de déchiffrement qui aideront les victimes à récupérer l’accès à leurs données.

De tels outils existent déjà. Notamment sur la plate-forme No More Ransom, née sous l’impulsion de la police néerlandaise, d’Europol et de McAfee.

Celui destiné aux victimes de GandCrab* a récemment été mis à jour (17 juin). Il permet désormais de contrer les versions les plus récentes du ransomware.

On ignore s’il s’appuie sur les mêmes clés que celles publiées par le FBI.
Sa mise à disposition coïncide en tout cas avec l’arrêt des activités des développeurs de GandCrab.

Ces derniers l’ont officialisé le 1^er juin. Ils ont affirmé, à cette occasion, que le ransomware a permis de collecter plus de 2 milliards de dollars de rançons. Et se sont félicités de « partir en retraite bien méritée ».

#GandCrab #Ransomware stops his evil job. pic.twitter.com/1HiOTHeqcw

— Damian (@Damian1338B) June 1, 2019

À l’usure

Du côté d’Europol et des forces de l’ordre associées à l’initiative No More Ransom, on se félicite aussi de ce départ en retraite. Et plus précisément de l’avoir provoqué, en « affaiblissant » les développeurs de GandCrab à force d’opérations conjointes.

On peut supposer que les clés cryptographiques ont été récupérées sur le centre de commande (C&C) du ransomware, déjà infiltré à plusieurs à plusieurs reprises.

GandCrab avait fait ses premières victimes officielles fin janvier 2018. Initialement caché dans des pièces jointes et des bannières publicitaires, il avait la particularité d’exiger les rançons en cryptomonnaie Dash. Les développeurs percevaient une commission sur chacune de ces rançons.

En un an et demi, le ransomware a évolué notamment au niveau des techniques de chiffrement utilisées. D’AES-256-CBC, il est passé à l’algorithme Salsa20 (versions 4 et ultérieures).
Sa cible s’est également réduite avec le temps, se restreignant aux fichiers pesant au plus 1 Mo.

* Europol estime que l’outil a aidé 30 000 victimes à ne pas verser un cumul d’environ 50 millions de dollars en rançons.

GandCrab : gloire et déchéance d’un ransomware

À l’usure

No More Ransom : la lutte s’organise contre les rançongiciels

Cybersécurité : cinq mesures pour protéger ses réseaux

Comprendre «l'après» peut aider les entreprises à se protéger contre les ransomwares

13 conseils pour télétravailler en toute sécurité

Choisir son fournisseur Cloud, une décision stratégique pour les PME

Le stockage dans le cloud continue d’inquiéter les PME

Numérique : le temps de l'augmentation est venu