Passer au contenu

Pourquoi le ransomware Kuiper cartonne auprès des cybercriminels

Le ransomware Kuiper a fait une entrée fracassante sur le marché noir à la fin de l’année dernière. Grâce à un arsenal de fonctionnalités redoutables, il est parvenu à convaincre une foule de cybercriminels. Il doit surtout sa popularité à son langage de programmation.

Au cours de l’année écoulée, les attaques par ransomware ont explosé à la hausse. D’après l’enquête réalisée par les chercheurs de Cybernews, nourrie des chiffres de Ransomlooker, il y a eu en moyenne 36 attaques par ransomware réussies par jour en 2023. Le nombre de victimes a grimpé 128,17 % par rapport à l’année précédente. Notez que la France fait partie des cinq pays les plus visés par les pirates.

Dans ce contexte, de nombreux cybercriminels cherchent de nouveaux outils pour piéger les particuliers et les entreprises afin de réclamer une rançon. Parmi les ransomwares les plus populaires du moment, on trouve Kuiper. Selon une étude menée par Trellix, la société de cybersécurité née de la fusion entre McAfee Enterprise et FireEye, Kuiper s’est rapidement imposé comme l’une des armes préférées des hackers.

À lire aussi : les ransomwares n’ont plus de scrupule à menacer des patients atteints d’un cancer

Aux origines de Kuiper

Les premières traces de Kuiper remontent au mois de septembre 2023. Le ransomware est apparu dans une publicité publiée sur un marché noir par Robinhood (Robin des Bois), un gang de cybercriminels notoire. Le groupe est notamment connu pour avoir exploité une faille de sécurité au sein des cartes mères Gigabyte en 2020. Il s’est également fait remarquer avec un ransomware du même nom en menant des attaques depuis 2017. Comme de nombreux autres virus, Kuiper s’inscrit dans la tendance des ransomwares en tant que service (RaaS), des logiciels malveillants accessibles clés en main par le biais d’un simple abonnement.

Dans l’annonce, Robinhood présente Kuiper comme « prêt à l’emploi », et dresse la liste des compétences de son malware. Pour Trellix, Robinhood n’a pas hésité à survendre le virus avec de fausses promesses. Aux dires des hackers, Kuiper est en mesure de s’autosupprimer après le chiffrage des données, de bloquer tous les processus en cours sur l’ordinateur, de stopper Microsoft Defender et d’échapper aux antivirus installés sur la machine.

Les pirates de Robinhood ont par la suite déployé des mises à jour pour tenter de faire correspondre leurs promesses avec les capacités réelles de Kuiper. Lors de la publication de la première publicité, le ransomware était en effet encore au stade du développement. Entre septembre et décembre 2023, Robinhood a progressivement affuté l’arsenal de Kuiper, en ajoutant par exemple de nouvelles méthodes de chiffrement des données. Chacune des versions nées durant l’automne 2023 a été scrupuleusement analysée par Trellix.

Pourquoi Kuiper séduit les hackers ?

Au fur et à mesure des versions déployées par Robinhood, Kuiper est devenu l’un des ransomwares les plus prisés par le monde des cybercriminels. Néanmoins, Trellix estime que les créateurs de Kuiper ont bâclé la conception du malware. Le rapport pointe du doigt « un manque fondamental de compréhension des concepts de programmation […], ainsi que des compétences de codage de mauvaise qualité ». De plus, il semble que le gang ne soit pas parvenu à tenir toutes ses promesses. En fouillant les annonces parues sur des marchés noirs du dark web, Trellix s’est rendu compte que « certaines des affirmations sont manifestement trompeuses et incorrectes ». Plusieurs des fonctionnalités mises en avant n’ont jamais été incorporées au code du logiciel.

Les experts de Trellix attribuent cette popularité soudaine à l’utilisation du langage de programmation Golang. Grâce à ce langage open source créé par Google en 2009, un acteur malveillant peut aisément s’approprier le code de Kuiper. De plus, il est très facile d’adapter le virus pour cibler d’autres systèmes d’exploitation que Windows, à savoir macOS et Linux. C’est pourquoi les pirates ont tout intérêt à adopter le langage de programmation. Par ailleurs, Golang se distingue par sa « capacité à exécuter des ordres dans le désordre sans que le résultat en soit affecté », indique Trellix. La société estime que les caractéristiques du langage, réputé pour sa simplicité, sa lisibilité et ses outils intégrés pour la mise en forme du code, ont fortement contribué à l’essor de Kuiper. Pour convaincre les hackers en herbe réticents, Robinhood s’est engagé à fournir une « aide aux opérations » aux utilisateurs de Kuiper, moyennant une commission. En clair, les pirates qui se sentent incapables d’utiliser le logiciel sans aider vont devoir verser une partie de leurs gains pour obtenir de l’aide.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : Trellix


Florian Bayard