Un groupe de victimes paie le rançon pour libérer leurs données, mais la clé de déchiffrement ne fonctionne pas en raison d'un bug

Un groupe de victimes paie le rançon pour libérer leurs données, mais la clé de déchiffrement ne fonctionne pas en raison d'un bug

Dans un cas qui soulève de graves inquiétudes en matière de sécurité informatique, un groupe de victimes a décidé de payer la rançon exigée par des pirates informatiques pour récupérer l'accès à leurs données compromises. Cependant, dans une situation ironique, la clé de déchiffrement fournie par les attaquants ne fonctionne pas en raison d'un bug technique. Les victimes, qui avaient cru avoir trouvé une issue à leur problème, se retrouvent ainsi dans une situation encore plus précaire, avec leurs données toujours en possession des pirates et sans moyen de les récupérer.

Ransomware Hazard : une erreur de déchiffrement met en péril les données d'une entreprise

Pour une entreprise qui ne fait pas ses devoirs et ne conserve pas de copies de sécurité de ses données critiques, être attaquée par un ransomware est une tragédie. Mais si ce ransomware a des bugs qui empêchent de le déchiffrer, c'est encore pire.

La plupart d'entre nous sommes probablement coupables de ne pas avoir de copies de sécurité à jour. Mais pour une entreprise commerciale, la responsabilité est plus grande.

Paiement du rançon pour récupérer les données, mais bug technique rend la clé de déchiffrement inopérante

La société de sécurité Guidepoint Security relate une histoire sur son blog, qui décrit ce qui est arrivé à une entreprise anonyme qui a décidé de payer les cybercriminels pour déchiffrer ses disques durs kidnappés.

Hazard, un ransomware plein de bugs, a été utilisé pour encripter les disques durs et les SSD de l'entreprise. Les experts conseillent généralement de ne pas payer, car les cybercriminels reçoivent souvent l'argent et disparaissent. Mais dans ce cas, l'entreprise avait des données très précieuses kidnappées, donc elle a décidé d'accepter le chantage.

Lorsque les cybercriminels ont reçu l'argent, ils ont fourni la clé de déchiffrement. Mais elle ne fonctionnait pas. Lorsque Guidepoint leur a signalé le problème, ils ont fourni la même clé avec un autre nom de fichier, puis ont disparu.

La clé de déchiffrement correcte, mais inopérante

L'entreprise de sécurité avait la clé correcte, mais elle ne fonctionnait pas. Elle a donc décidé d'enquêter pour comprendre pourquoi le malware ne fonctionnait pas. Elle a découvert que c'était dû à un bug.

« Il s'est produit une erreur lorsque l'auteur de la menace a exécuté plusieurs chiffreurs sur le même système », explique GuidePoint. « Chaque fichier a été chiffré une seconde fois avant d'être renommé avec une nouvelle extension, ce qui a fait que des octets manquaient dans un fragment de données ajouté au fichier original ».

Un bug technique qui met en péril les données

Il manquait trois octets du fichier original, qui empêchaient la clé de déchiffrement de s'appliquer correctement. L'entreprise de sécurité a donc décidé de recourir à la force brute. Elle a essayé toutes les combinaisons possibles de ces trois octets jusqu'à ce qu'elle trouve la bonne. Elle a ainsi pu déchiffrer les fichiers kidnappés.

Un happy end, mais la chance a joué un rôle important

L'histoire a un happy end, mais la chance a joué un rôle important. Si plus d'octets avaient manqué, les combinaisons auraient explosé à plusieurs milliards, et le déchiffrement aurait été impossible, ou aurait pris des années.

Les ransomware sont très dangereux

Les ransomware sont très dangereux, plus encore si ils ont des bugs. C'est pourquoi payer le rançon suppose un grave risque.

Conseils pour vous protéger

Il est donc important de prendre des mesures pour se protéger contre les ransomware. Faites des copies de sécurité régulières de vos données critiques, mettez à jour vos logiciels, et soyez prudent lors de l'ouverture de fichiers suspectes.