Un nouveau service appelé Inpivx propulse l’activité des logiciels de rançon à un nouveau stade d’évolution, facilitant la mise en place de cette activité pour ceux qui n’ont pas les compétences techniques nécessaires pour développer le malware à partir de zéro et construire un panneau de gestion.

Promue sur un site Tor, l’équipe d’Inpivx propose à ses clients une offre simple qui diffère de l’approche RaaS (ransomware-as-a-service) qui a récemment gagné en popularité.

Pour un prix spécifique, ils fournissent le code source pour le malware de chiffrement de fichiers (chiffrement symétrique, chiffrement AES + chiffrement à clé publique RSA) et pour le tableau de bord de gestion. Ce modèle permet aux cybercriminels de personnaliser le code ou de l’utiliser comme référence pour une nouvelle souche de logiciel de rançon.

Pour l’instant, le forfait coûte 500 $, un prix très attractif si l’on considère qu’une seule victime payant la rançon peut couvrir “l’investissement” et laisser un certain profit. L’outil de déchiffrement est inclus.

Dans une conversation avec BleepingComputer, un membre d’Inpivx a dit que le logiciel de rançon et le tableau de bord sont liés ensemble. De plus, le client peut adapter le code ransomware à ses besoins.

“Si le client n’a aucune compétence, nous fournissons un tutoriel basé sur notre propre tableau de bord de rançon, chaque ligne de code a une explication,” nous dit Inpivx.

Le malware est écrit en C+++ et fonctionne sous Windows XP à Windows 10. Le tableau de bord est codé en PHP et se veut rapide, léger et réactif, avec un design moderne et flat, comme le disent les développeurs Inpivx sur la page du projet. Comme l’offre d’Inpivx n’est pas RaaS, ils ne fournissent pas de services d’hébergement.

Une fois que le logiciel malveillant a chiffré les fichiers d’une victime, le tableau de bord devient le point central de l’opération. Après s’être connecté, il affiche une vue d’ensemble de l’état infectieux.

L’aperçu rapide comprend des détails sur le nombre total de fichiers chiffré, les installations de logiciels de rançon, les systèmes d’exploitation infectés et leur emplacement géographique.

Une section clients affiche les identifiants des victimes, leur système d’exploitation, le prix de la rançon individuelle, la clé de déchiffrement et l’état actuel du paiement.

Le tableau de bord intègre un simple chat pour couvrir les besoins de communication avec les victimes. Cette fonction permet de s’assurer que même les victimes non techniques peuvent acheter de la cryptocriminalité et la transférer dans le(s) porte-monnaie(s) du cybercriminel.

L’approche d’Inpivx est très susceptible d’attirer dans le monde du ransomware des personnes ayant une expertise dans d’autres domaines de l’activité criminelle. Avec l’accès au code source, ils peuvent modifier le ransomware original et créer de nouvelles souches qui pourraient évoluer vers quelque chose de nouveau en combinant le code d’autres logiciels malveillants.

Source et image : https://www.bleepingcomputer.com/news/security/new-inpivx-service-may-change-the-ransomware-game/

Accéder aux commentaires