Un nouveau type de service, Ransomware-as-a-Service, est apparu sur le Dark Web

Un nouveau service, Ransomware-as-a-Service (RaaS), est apparu dans le Dark Web. Le ransomware Data Keeper, sponsorisé par ce type de service, est en cours de propagation.

Les attaquants derrière le service RaaS de Data Keeper demandent à leurs clients de générer le ransomware et de le distribuer en échange d’une part (en bitcoin) des rançons payées par les victimes. 

Le ransomware en question chiffre les fichiers avec un algorithme combiné AES/RSA-4096. Il tente également de chiffrer les partages réseau qui lui sont accessibles. Une fois les fichiers chiffrés, le code malveillant placera une note de rançon (" !!! ##### === ReadMe === ##### !!!. Htm ") dans chaque dossier où des fichiers ont été chiffrés.

Le ransomware Data Keeper utilise PsExec pour exécuter le code malveillant sur les machines distantes du réseau infecté. L’une des caractéristiques de ce ransomware est qu'il n'ajoute pas d'extension aux noms des fichiers chiffrés. Une autre singularité du service RaaS derrière le malware est la possibilité, pour les affiliés, de choisir les types fichiers à chiffrer ainsi que le montant de la rançon.

La plate-forme RaaS utilise un service de paiement hébergé sur le réseau Tor ; une approche courante pour de nombreux logiciels malveillants. Selon les chercheurs, de nombreux pirates sont déjà affiliés au service RaaS de Data Keeper et sont actuellement en cours de distribution du malware.

Pour s’en protéger, il est primordial de mettre en place des sauvegardes à jour et testées à restaurer en cas d’incident. Il est aussi recommandé ne pas cliquer sur les liens suspects et de ne pas télécharger les pièces jointes des courriels non sollicités.