La vague des ransomware qui se limitent à chiffrer les fichiers et à les libérer contre rançon semble laisser la place à des malwares multifonctions. Il en est ainsi de CryptXXX (Trojan-Ransom.win31.CryptXXX) dont la dernière version tente de voler les mots de passe en plus de rendre inaccessible les contenus du disque.
Découverte fin mai, la version 3.100 de CryptXXX renferme le module StillerX qui, comme son nom le suggère, se charge de dérober des informations confidentielles comme les identifiants de connexion et les mots de passe. Une double source de revenus en perspective pour les cybercriminels, qui peuvent espérer à la fois recueillir les fruits de la rançon tout cherchant à revendre les données confidentielles volées ou les exploiter pour de futures attaques.
StillerX est une bibliothèque logicielle (stiller.dll, stillerx.dll et stillerzzz.dll) qui accompagne CryptXXX sous la forme d’un plugin. Mais il peut aussi être utilisé comme un agent autonome, souligne Proofpoint. Ecrit en Delphi, comme le ransomware qui l’embarque, le malware voleur « vise les identifiants d’une large gamme d’applications allant d’un logiciel de poker aux identifiants des VPN Cisco », indique le fournisseur de solutions de sécurité, qui liste notamment les services de messagerie, de FTP, les navigateurs, les outils d’administration à distance ou encore les données de Microsoft Credential Manager parmi les applications visées. « Outre les informations d’identification des fonctions de saisie, nous avons trouvé des routines, inutilisées, propres aux systèmes d’empreintes digitales et des routines d’exfiltration de données. »
StillerX n’est pas la seule nouveauté de CryptXXX. Le malware découvert en avril dernier a su déjouer les outils de déchiffrement que Kaspersky à développés et mis à disposition à deux reprises courant mai. De plus, la version 3.100 du malware concentre désormais son activité sur le scan du port 445 à la découverte des différentes composantes du réseau local (LAN) dans l’espoir de découvrir les disques partagés sous Windows. « Cette nouvelle version de CryptXXX est capable de trouver des ressources partagées sur le réseau, listant les fichiers dans chaque répertoire partagé, et les cryptant un par un », écrit Proofpoint. Enfin, les auteurs de CryptXXX ont également introduit un système de blocage d’écran des PC infectés accentuant la difficulté à accéder au système de fichiers pour l’administrateur.
Les évolutions rapides de versions de CryptXXX (voire liste ci-dessous) montrent que ses auteurs n’ont pas l’intention de se laisser dépasser par les éditeurs de sécurité et entendent tirer un maximum de profit des infections qu’ils génèrent à partir d’un seul agent malveillant. Et l’arrêt de TeslaCrypt (lire ce télégramme) laisse penser qu’un certain nombre de ses utilisateurs se sont tournés vers CryptXXX « qui est très répandu », s’inquiète Profpoint. Qui prévient : « sans outil de décryptage disponible, les utilisateurs et les organisations doivent se concentrer sur la détection et la prévention ».
Les différentes versions de CryptXXX depuis sa découverte :
Lire également
Le ransomware Locky mute pour multiplier ses victimes en France
Créer des ransomwares, une petite entreprise qui rapporte
ZCryptor : le ransomware Windows qui progresse comme un ver
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…