Une version d’une boîte à outils de rançongiciel open source appelée Cryptonite a été observée dans la nature avec des capacités d’effacement en raison de sa « faiblesse de l’architecture et de la programmation ».
Cryptonite, contrairement à d’autres souches de rançongiciels, n’est pas disponible à la vente sur le marché souterrain des cybercriminels, et était plutôt proposé gratuitement par un acteur nommé CYBERDEVILZ jusqu’à récemment via un référentiel GitHub. Le code source et ses fourches ont depuis été supprimés.
Écrit en Python, le malware utilise le module Fernet du package de cryptographie pour chiffrer les fichiers avec une extension « .cryptn8 ».
Mais un nouvel échantillon analysé par Fortinet FortiGuard Labs s’est avéré verrouiller les fichiers sans possibilité de les décrypter, agissant essentiellement comme un effaceur de données destructeur.
Mais ce changement n’est pas un acte délibéré de la part de l’acteur de la menace, mais découle plutôt d’un manque d’assurance qualité qui fait planter le programme lorsqu’il tente d’afficher la note de rançon après avoir terminé le processus de cryptage.
« Le problème avec cette faille est qu’en raison de la simplicité de conception du ransomware si le programme plante – ou est même fermé – il n’y a aucun moyen de récupérer les fichiers cryptés », a déclaré Gergely Revay, chercheur chez Fortinet, dans un article publié lundi.
L’exception levée lors de l’exécution du programme rançongiciel signifie également que la « clé » utilisée pour chiffrer les fichiers n’est jamais transmise aux opérateurs, excluant ainsi les utilisateurs de leurs données.
Les résultats viennent dans le contexte d’un paysage de ransomwares en évolution où des essuie-glaces sous le couvert de logiciels malveillants de cryptage de fichiers sont de plus en plus déployés pour écraser les données sans permettre le décryptage.