Rorschach : attention à ce nouveau ransomware chiffre vos données plus vite qu'aucun autre

Mallory Delicourt
06 avril 2023 à 16h30
13
© Clubic
© Clubic

Après l'attaque d'une entreprise américaine, des chercheurs en cybersécurité ont découvert un nouveau type de rançongiciel (ransomware) doté de caractéristiques techniques « uniques » le rendant extrêmement rapide.

À l'heure actuelle, personne ne sait d'où vient le ransomware Rorschach, qui apparaît désormais comme grande menace.

Le ransomware le plus rapide du monde

Les chercheurs en cybersécurité de chez Checkpoint ont récemment découvert une nouvelle souche de ransomware qui a été nommé Rorschach en référence au célèbre test psychologique. Ce dernier serait actif depuis juin 2022, et aurait déjà été aperçu en janvier 2023 par l'équipe de Group-IB, qui l'avait alors baptisé BabLock en référence aux virus utilisés par les pirates du groupe Babuk. Ciblant les entreprises, Rorschach serait partiellement autonome et semble être en mesure de crypter extrêmement vite les données visées.

Une fois qu'il est entré dans le système, il s'exécute par l'intermédiaire du bloc-notes et utilise le chiffrement intermittent pour gagner du temps. La technique est très répandue depuis 2021, et ne présente presque que des avantages pour les assaillants. En effet, le ransomware ne crypte qu'une partie des données, corrompant de fait les données et esquivant certains programmes de détection des menaces. D'après les tests qui ont été réalisés, il n'aurait fallu que 4,5 minutes à Rorschach pour crypter 220 000 fichiers sur un ordinateur doté de six cœurs.

Pour comparer, les chercheurs indiquent que Lockbit v.3, réputé pour être le ransomware le plus rapide du moment, a eu besoin de 7 minutes. Une fois que les données ont été corrompues et partiellement chiffrées, l'utilisateur reçoit la demande de rançon. Il a également été remarqué que les demandes étaient relativement faibles par rapport aux cibles visées, les pirates réclamant des sommes comprises entre 50 000 et 1 000 000 de dollars « seulement ».

Chaîne d'attaque de Rorschach © ChekPoint
Chaîne d'attaque de Rorschach © ChekPoint

Une souche inédite créée par un groupe inconnu

À l'heure où sont écrites ces lignes, personne ne sait d'où vient Rorschach/BabLock. Il ne correspond à aucune souche connue et n'est lié à aucun groupe connu. La seule chose que nous savons, c'est que les entreprises visées se situent en Europe, en Asie, au Moyen-Orient et en Amérique du Nord et que le ransomware évite la Russie ainsi que les pays de l'ancien bloc soviétique.

En raison de sa rapidité et de la manière dont ont été combinées les principales caractéristiques des meilleurs ransomwares, Rorschach apparaît comme très dangereux et représente un véritable défi pour les experts en cybersécurité. Autres points et non des moindres, Rorschach serait hautement personnalisable et son autonomie partielle permettrait aux intrus de ne pas perdre du temps à effectuer des tâches habituellement réalisées à la main.

Source : Bleeping Computer

Mallory Delicourt

Mallory Delicourt

Historien finalement tombé dans le jeu vidéo, je me passionne pour ces deux domaines ainsi que pour l'espace, les sciences en général, la technologie et le sport. Streameur en pointillé, j'ai tellemen...

Lire d'autres articles

Historien finalement tombé dans le jeu vidéo, je me passionne pour ces deux domaines ainsi que pour l'espace, les sciences en général, la technologie et le sport. Streameur en pointillé, j'ai tellement de jeux à faire que j'ai dû créer un tableur. Rédacteur newseur depuis 6 ans, j'aime faire vivre l'actualité aux lecteurs.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (13)

Baxter_X
Pour rappel « crypter » n’existe pas en Français. Par contre, chiffrer, oui.
Valmont69
Baxter_X:<br /> Pour rappel « crypter » n’existe pas en Français<br /> Exact, même si pour chiffrer on utilise la cryptographie, c’est peut-être ce qui génère cette confusion ?<br /> Ou alors si quelqu’un crypte un fichier, c’est que potentiellement même l’auteur du cryptage ne sera plus en mesure de lire le fichier.<br /> On a le droit d’utiliser le verbe « crypter » uniquement pour parler des chaines TV payantes, type Canal+ .<br /> En revanche en on peut déchiffrer ou décrypter un fichier (tout dépend de la méthode, des moyens employés, du temps dont on dispose, etc.).
Baxter_X
Valmont69:<br /> En revanche en on peut déchiffrer ou décrypter un fichier<br /> Déchiffrer c’est lorsque l’on possède le ou les moyens de déchiffrements. Décrypter c’est lorsque l’on casse le chiffrement sans posséder ces moyens là.<br /> Pour le reste, crypter n’existe pas en Français, même si il est très souvent utilisé.
Valmont69
Baxter_X:<br /> Pour le reste, crypter n’existe pas en Français, même si il est très souvent utilisé.<br /> Comme dit plus haut, ce n’est pas si tranché que ça et ça dépend du contexte.<br /> dictionnaire-academie.fr<br /> Dictionnaire de l’Académie française<br /> Le nouveau portail numérique des 9 éditions du Dictionnaire de l'Académie française<br /> « Crypter est donc à éviter » mais rien ne l’interdit formellement (et on le trouve dans certains dictionnaires).<br /> Mais effectivement quand on parle de rendre des fichiers illisibles en informatique on doit privilégier « chiffrer ».<br /> En revanche et toujours dans un contexte informatique, on ne doit privilégier « chiffrement » et « déchiffrement » au lieu de « chiffrage » et « déchiffrage » même si ces seconds restent français.<br /> Dans l’audiovisuel « cryptage » est tout à fait admis :<br /> Comment se fait-il que la diffusion des chaînes par satellite soit cryptée, et nécessite donc l'utilisation d'équipements spécifiques ? - Le CSA et l'Hadopi deviennent l'Arcom).<br /> fr.wikipedia.org<br /> Diffusion télévisée en clair<br /> Cet article est une ébauche concernant la télévision.<br /> Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.<br /> Consultez la liste des tâches à accomplir en page de discussion.<br /> En télévision, clair ou en clair est le choix de diffuser des émissions de télévision ou de radio sans cryptage (ou embrouillage) en mode analogique et numérique par le réseau terrestre, TNT ou satellitaire. Cryptage ne doit pas être confondu avec codage.<br /> dictionnaire.lerobert.com<br /> chaîne cryptée - Définitions, synonymes, conjugaison, exemples | Dico en...<br /> Définition de chaîne cryptée : Collocation...<br />
ypapanoel
C’est bizarre… je n’ai pas creusé le sujet : mais si on se réfère strictement à la langue : si dé-crypter existe et a un sens, son terme de base devrait exister aussi…<br /> j’ai pas un Larousse 2023 sous la main pour vérifier mais ça mériterait…<br /> (edit puisqu’on ne peut pas supprimer un message)<br /> Merci @Valmont69 : ça confirme ce qui me semblait logique…<br /> et @Baxter_X attention aux affirmations à l’emporte-pièce encore une fois…
Blackalf
ypapanoel:<br /> (edit puisqu’on ne peut pas supprimer un message)<br /> Bah si, on supprime d’ailleurs souvent des « message supprimé par son auteur ».
ypapanoel
test<br /> image1322×504 25.7 KB<br /> aucune zone d’annulation de post visible une fois posté
ypapanoel
essai<br /> image1333×519 38.1 KB<br /> impossible d’annuler un champ vidé non plus
ypapanoel
et je rajoute : une fois sur 2 quand on fait « répondre » on n’obtient pas le @réponse en haut de son post… de façon qui me semble aléatoire puisque que je me contente simplement de cliquer sur répondre et à la fin de valider mon post.<br /> totalement hors sujet mais merci pour l’explication en espérant que ça ne servira pas qu’à moi<br /> en ce qui concerne les modifications de post en revanche, impec<br /> (je précise que je suis sous firefox : peut être que ça vient de là)
kyosho62
@ypapanoel la suppression de post se fait après avoir posté.<br /> Ca ne cite pas la personne quand votre message est juste en dessous du sien.
Blackalf
ypapanoel:<br /> test<br /> aucune zone d’annulation de post visible une fois posté<br /> Comme dit mon collègue, il faut bien sûr que le message ait d’abord été posté pour pouvoir être supprimé. ^^<br /> Pour supprimer un message posté, il faut cliquer sur les 3 points en bas à droite de ton message, à côté du crayon pour l’édition, et tu auras l’icône poubelle pour le supprimer.
jcc137
Je m’attendais à lire des commentaires axés sur le sujet, et surtout sur les manips à éviter pour ne pas se faire infecter, mais le fil a débattu (voire combattu) sur l’emploi des termes « chiffrer » vs « crypter »…<br /> Je doute fort que l’usager infecté se console de connaître la différence sémantique du terme.<br /> Sinon, mise à part cette info relative à l’emploi du bloc-notes pour lancer ce ransomware, en sait-on un peu plus sur cette contamination ?
arnaques_tutoriels_aide_informatique_tests
Pareil, ça m’a meme gonflé ces commentaires des pro orthographes vocabulaires…ca fait une belle jambe à celui qui.veut récupérer ses données…cryptées ;p
Voir tous les messages sur le forum

Top meilleurs antivirus

Bitdefender
Bitdefender Voir l'offre
Norton 360
Norton 360 Voir l'offre
Avast One
Avast One Voir l'offre
  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page

Sur le même sujet

Azov Ransomware : tout savoir sur LA cyber-menace du moment Azov Ransomware : tout savoir sur LA cyber-menace du moment
Récupérer ses données après avoir été piraté : rêve ou réelle possibilité ? Récupérer ses données après avoir été piraté : rêve ou réelle possibilité ?
Ransomware : le FBI pirate les hackers du groupe Hive et redistribue des clés aux victimes Ransomware : le FBI pirate les hackers du groupe Hive et redistribue des clés aux victimes
Ransomware : après l'attaque d'un hôpital pour enfants, comment ce gang de pirates s'est excusé Ransomware : après l'attaque d'un hôpital pour enfants, comment ce gang de pirates s'est excusé
Ransomware : il ne faut PAS payer les rançons... alors les assurer ? Ce qu'en disent les experts en cybersécurité Ransomware : il ne faut PAS payer les rançons... alors les assurer ? Ce qu'en disent les experts en cybersécurité