Les experts du fournisseur de solutions de sécurité Eset ont publié une alerte sur un ransomware visant  les systèmes sous Mac : aucune clé de déchiffrement n'est fournie, même après paiement d'une rançon, pour permettre aux victimes de recouvrer leurs données !

Ce ransomware se propage via les sites de téléchargement Bittorent et les  utilisateurs qui en sont victimes ne peuvent pas recouvrer leurs données, même après avoir payé la rançon demandée par les cyber pirates.

Les programmes de cryptoware (1) ( : ransomwares avec chiffrement,ou cryptage, des données des victimes) pour MacOS sont rares.

Il s'agit de la seconde menace sérieuse après KeRanger bien qu'il soit mal conçu.

Ce programme a été baptisé OSX / Filecoder.E par les chercheurs en sécurité du fournisseur de solutions de sécurité Eset qui l'ont trouvé.

OSX / Filecoder.E  se cache dans des outils permettant d'installer sans licence des logiciels commerciaux tel qu'Adobe Premier Pro CC et Microsoft Office pour Mac proposés sur des sites de téléchargement Bittorent.

Ce programme a été écrit dans le langage de programmation Swift d'Apple par un développeur, semble-t-il inexpérimenté, compte tenu des nombreuses erreurs commises dans son implémentation.

L'installeur d'application n'est pas signé par un certificat de développeur fourni par Apple (2), ce qui rend l'installation du malware plus difficile sur les versions récentes d'OS X et de MacOS, les utilisateurs devant changer les paramètres de configuration de sécurité par défaut.

La plus grande difficulté induite par ce malware concerne la façon dont il chiffre les fichiers :

Il génère une clé de chiffrement unique pour tous les fichiers et les chiffre dans des archives zippées.

Et, le malware ne semble pas être capable de communiquer avec un serveur externe, empêchant ainsi toute possibilité d'envoi de la clé à l'attaquant avant d'être détruit.

ð Cela signifie que même si les victimes suivent les instructions du pirate, pour payer la rançon, ils ne récupéreront jamais leurs fichiers.

Le chiffrement étant fort, il ne semble pas possible à casser en employant une méthode brute.

MacOS, un système cible potentielle de ransomware comme tout autre système !

Les chercheurs ont suivi l'adresse du portefeuille de bitcoin utilisé par l'attaquant et n'ont jusqu'à présent vu aucun paiement effectué.

La boite email publique que le pirate a utilisée ne montre également aucun signe de communications avec des victimes potentielles.

Quand bien même OSX/Filecoder.E est serait le fruit d'un codeur inexpérimenté qui a choisi d'arnaquer les victimes plutôt que de construire une infrastructure de commande et de contrôle pour détenir des clés de déchiffrement, ce programme montre que MacOS est une cible tout à fait possible pour les créateurs de ransomwares.

-  Il est fort à craindre que les programmes malveillants pour cet OS devraient sans doute augmenter sachant que les groupes de pirates sont en compétition pour faire payer leurs victimes sur d'autres plateformes.

(1) Cryptoware :  Classede logiciels malveillants chiffrant de manière irréversible tous les fichiers utilisateurs et demandant une rançon pour fournir la clé de décryptage. C'est une variante dure des ransomwares.

Les malveillances prennent toutes les formes possibles, mais l'une des variantes des ransomwares, sous le nom de classe de cryptowares, est la pire attaque qui puisse pénétrer un ordinateur, le pire cauchemar des utilisateurs.

En raison des niveaux de qualité des algorithmes de chiffrement à clés assymétriques , il n'y a aucun moyen de récupérer les fichiers cryptés, sauf à disposer de la clé de déchiffrement, donc payer le cybercriminel.

Les seuls cas où la récupération des données semble possible sont :

-         Le cybercriminel a mal fait son travail et des failles ont pu être exploitées pour inverser le processus de chiffrement (en particulier, il a laissé des traces dans les machines de ses victimes)

-         Les machines utilisées par le cybercriminel (les C&C - Command and Control) pour piloter le botnet d'attaque ont pu être localisées et saisies ,ou pénétrées, et les clés de déchiffrement des données des victimes récupérées. Par la mise en place d'un mécanisme d'analyse, après fourniture par les victimes d'un échantillon crypté par ce cryptoware,  la clé de déchiffrement identifiée a été transmise à la victime.

(2) Un certificat développeur permet de signer des applications, des composants, plug-ins, qui seront ensuite diffusées et installées sur des systèmes d'exploitations (Windows, Linux, IOS, Android, ...) ou comme modules. Pour améliorer la sécurité et garder la confiance des utilisateurs, la signature de logiciel permet ainsi d'authentifier l'auteur du programme et aussi de confirmer que le programme en question n'a pas été modifié  ou piraté lors de son installation et/ou de son utilisation.

Afin d'offrir de meilleurs garanties d'intégrité des systèmes tout en authentifiant tous les actes de malveillance (malware, virus, ...) , de plus en plus de systèmes préconisent ou imposent à ce que les programmes insérés dans un système soient signés.

Un programme signé avec un certificat développeur supprime les messages de sécurité, sur certains systèmes, alertant d'une identité inconnue de l'éditeur lors du téléchargement.