Il développe un logiciel capable de contrer les ransomwares et le partage sur GitHub

Mélina LOUPIA
Publié le 01 juin 2024 à 09h39
Est-ce que les hackers vont enfin cesser de nous rançonner ? - © rawf8 /Shutterstock
Est-ce que les hackers vont enfin cesser de nous rançonner ? - © rawf8 /Shutterstock

Un développeur a créé un outil anti-ransomware open source baptisé RansomLord. Ce logiciel automatise la création de fichiers PE exploitant les vulnérabilités des ransomwares avant leur chiffrement. Son créateur l'a rendu public sur GitHub.

On n'est jamais mieux servi que par soi-même en matière de sécurité de nos données. « J'ai créé RansomLord pour démontrer que les rançongiciels ne sont pas invincibles, qu'ils ont des vulnérabilités et que leurs développeurs font des erreurs comme tout le monde ». Un constat simple qui donne naissance à une idée de génie, issu d'un énorme travail d'un développeur, Hyp3rlinx, qui a créé de toutes pièces RamsomLord, un outil capable de contrer les ransomwares en exploitant leurs failles avant qu'ils ne chiffrent les données.

Ce logiciel déploie des exploits pour défendre les réseaux informatiques. Sa première cible a été le ransomware LockBit (faille MVID-2022-0572). Et cerise sur le gâteau, il partage RansomLord en open source, sur GitHub.

Meilleur antivirus, le comparatif en juin 2024
A découvrir
Meilleur antivirus, le comparatif en juin 2024

04 juin 2024 à 17h42

Comparatifs services

RansomLord : Un outil puissant pour combattre les ransomwares

RansomLord exploite les tactiques de détournement de DLL couramment utilisées par les cybercriminels. Il automatise la création de fichiers PE en exploitant les vulnérabilités des ransomwares avant leur chiffrement. Les fichiers PE (Portable Executable) sont des fichiers exécutables sur les systèmes Windows qui contiennent le code des programmes et applications.

Son drapeau « -m » permet de mapper les menaces aux DLL vulnérables, ciblant ainsi les ransomwares visant une organisation ou un secteur spécifique. En exposant les failles de ces logiciels malveillants, l'outil force leurs développeurs à refondre leur code pour corriger les vulnérabilités. Les hackers, tout affairés à mettre les mains dans le cambouis de leur basse besogne, laissent le temps aux équipes de sécurité de parer aux attaques. Un gain de temps que l'on sait précieux.

RansomLord expose actuellement 12 fichiers DLL permettant de se défendre contre 49 familles de ransomwares, comme _cryptsp.dll_ qui vainc à lui seul 15 variantes dont Yanluowang, Conti et LokiLocker. Il profite du taux élevé de logiciels malveillants souffrant de ce vecteur d'attaque pour neutraliser d'autres menaces telles que les chevaux de Troie et les voleurs d'informations, à l'instar d'Emotet (MVID-2024-0684).

RansomLord est disponible sur GitHub - © VideoBCN / Shutterstock

RansomLord en libre accès sur GitHub

Hyp3rlinx a choisi de partager gratuitement RansomLord sur la plateforme GitHub, probablement le service web d'hébergement et de gestion de développement de logiciels le plus populaire, bien que lui aussi vulnérable, comme en témoigne la faille de sécurité en avril 2024 qui a permis aux hackers de diffuser… un malware sur la plateforme. Il utilise Git, un logiciel de gestion de versions décentralisé, pour le suivi des modifications dans les fichiers sources. Les développeurs peuvent ainsi collaborer sur des projets depuis n'importe où. Cette décision permet à tous d'accéder à cet outil anti-ransomware performant.

En mettant RansomLord en open source sur GitHub, hyp3rlinx offre à la communauté la possibilité d'étudier, d'améliorer et d'adapter ce logiciel à ses besoins spécifiques. Cela permettra de rester un coup d'avance sur les ransomwares en constante évolution. Toute organisation ou particulier confronté à cette menace pourra désormais se protéger efficacement grâce à RansomLord et son Robin des Bois 3.0. D'ailleurs, hyp3rlink n'est pas le seul « gentil hacker » à œuvrer pour le bien des données personnelles et la sécurité des utilisateurs. En avril 2024, une équipe a créé PedoRansom, un malware qui piège les utilisateurs qui consultent des contenus à caractère pédopornographique. Un peu plus tôt, la cyberattaque de Lyon Terminal avait été commise par le gang 8base, qui se disent « honnêtes ».

    L'outil libre incontournable de gestion de versions et de dépôts Git. Il permet la prise en main d'un système de fichiers complexes dans le cadre d'un projet de développement.

    Par Mélina LOUPIA

    Modératrice, contributrice et community manager pour le regretté OVNI Le Post, puis journaliste société spécialisée dans la parentalité et la psychologie notamment sur Le HuffPost, l'univers du Web, des réseaux, des machines connectées et de tout ce qui s'écrit sur Internet s'inscrit dans le champ de mes sujets préférés.

    Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
    Suivez-nous pour ne rien rater de l'actu tech !

    A découvrir en vidéo

    Commentaires (0)
    Rejoignez la communauté Clubic
    Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
    Commentaires (10)
    Rainforce

    J’ai vu cette news chez Korben, mais pareil pas compris, on s’en sert comment pour se protéger des ransomwares ?

    zztop69
    casimir79

    Un extrait de l’article de Korben qui vulgarise le fonctionnement du logiciel :

    « Pour réussir cet exploit (sans mauvais jeu de mot), RansomLord génère des fichiers « DLL » qui se font passer pour des fichiers légitimes dont les rançongiciels ont besoin. En réalité, ces DLL sont remplis de code malicieux qui court-circuite le processus de chiffrement et met fin à la carrière du malware avant même qu’il n’ait pu crier « Bitcoin » ! »

    Il faudra quand même se méfier des ransomwares qui essaieront d’usurper le nom de ce logiciel…

    Nmut

    Utiliser la substitution de dll, technique « simple » de piratage, pour contrer des pirates, ça me plait! :smiley:

    Laurent_Marandet

    Protéger grâce aux DLL çà limite donc à Windows. Il y a quand même énormément d’attaques sur les VPN (Fortinet) les SSL non patchés, les injections SQL, etc…

    casimir79

    Oui enfin windows 10 & 11, c’est 1,4 milliards de PC et là on parle de ransomwares pas d’attaque DDoS

    Keorl

    Partager en open source semble bien, mais est-ce que ça ne révèle pas leurs failles aux auteurs des ransomware, qui seront donc plus à même de les boucher ?
    J’aurais publié ça en closed source tout en proposant les sources aux chercheurs en sécurité reconnus.

    lightness

    c’est enfin une bonne initiative : ça resoud un des plus gros problème de la cybercriminalité, c’est libre et gratuit. en revanche, le désavantage du libre c’est que dès lors tu livre ta technique, automatiquement tu révèle la méthode de contournement. donner ses clés à son ennemi n’est pas judicieux. En revanche c’est louable malgré tout et très rare de nos jours.

    Blap

    Le faire en proprietaire n’aurait strictement rien changé tout en n’inspirant pas confiance aux gens qui cherchent a l’installer

    Keorl
    • Strictement rien changé => tu peux développer ? Là on a expliqué à tout le monde que la protection se base sur des failles des ransomware, et on montre le code qui les exploite. Ça me semble plus facile pour les criminels d’essayer de partir de là pour corriger leurs failles que s’ils savaient juste qu’il y a un logiciel de protection dans la nature (son fonctionnement doit pouvoir s’analyser sans accès au code source mais c’est un brin plus compliqué surtout si on ne sait pas qu’il s’appuie sur des failles)
    • Pas confiance => c’est bien pour ça que je précise « tout en proposant les sources aux chercheurs en sécurité reconnus »