En mai dernier, des chercheurs en sécurité de Sophos ont détecté sur un grand nombre de réseaux d'entreprise un rançongiciel portant le nom MegaCortex. Si le volume de ces attaques n'a pas été spécifié, elles ont notamment eu lieu en Italie et aux Etats-Unis mais également en France. Il y a peu une mise à jour a été découverte par la MalwareHunterTeam où le ransomware ne ferait plus seulement que chiffrer les fichiers mais peut désormais changer le mot de passe de l’utilisateur connecté et menace de publier ses fichiers s’il ou elle ne paie pas la rançon exigée.

Il est d’usage pour les pirates bloquant l’accès aux contenus d’un ordinateur de laisser un message à leur victime pour leur donner des précisions sur la manière de les contacter pour payer la rançon, etc. Les pirates exagèrent souvent les menaces formulées pour pousser les personnes infectées à payer. Les chercheurs ont donc d’abord pensé que le changement de mot de passe de la session Windows n’était pas vrai. Or, une fois l’ordinateur chiffré redémarré, il était bel et bien impossible de se reconnecter au compte.

Menaces en l’air ?

Pour ce faire, le ransomware exécute la commande « net user » lors de son installation sur le terminal de la victime. « Ceci explique également pourquoi les attaquants ont ajouté une mention légale qui s'affiche à l'invite de connexion car l'utilisateur ne pourra plus se connecter pour accéder à son bureau », précisent les chercheurs.

Une autre menace pèse sur la victime infectée par MegaCortex : « Nous avons également téléchargé vos données dans un endroit sécurisé. Si, malheureusement, nous ne parvenons pas à un accord, nous n'aurons d'autre choix que de rendre ces données publiques », peut lire l’utilisateur piraté dans le message laissé sur son ordinateur après infection. Il n’a pas été avéré que les attaquants pouvaient effectivement copier et télécharger les données d’un ordinateur. Mais la menace n’est pas pour autant à écarter, et il peut être pertinent de s’assurer que les pirates ont bel et bien obtenu une copie des fichiers bloqués avant de s’en alarmer vraiment. MegaCortex deviendrait alors un voleur de données en plus de ses méfaits de chiffrement.