Ransomware Zollo

Les menaces de logiciels malveillants continuent d'évoluer et de gagner en sophistication, faisant de la protection des appareils une priorité absolue pour les particuliers comme pour les organisations. Les attaques par rançongiciel, en particulier, peuvent entraîner de graves perturbations opérationnelles, des pertes financières et la divulgation de données sensibles. Parmi les menaces récemment observées figure le rançongiciel Zollo, un programme malveillant conçu pour chiffrer les fichiers et extorquer de l'argent aux victimes. Comprendre son mode de fonctionnement et de propagation est essentiel pour renforcer les défenses contre des attaques similaires.

L’émergence du ransomware Zollo

Le ransomware Zollo a été identifié comme une variante de la famille de ransomwares MedusaLocker. À l'instar des autres membres de cette famille, il est conçu pour infiltrer les systèmes, chiffrer les fichiers importants et contraindre les victimes à payer une rançon en échange du déchiffrement.

Une fois exécuté sur un appareil infecté, le logiciel malveillant analyse le système à la recherche de fichiers accessibles et les chiffre à l'aide d'algorithmes cryptographiques puissants. Après le chiffrement, le rançongiciel modifie les noms de fichiers en ajoutant une extension distinctive telle que « .zollo6 ». Par exemple :

• 1.png devient 1.png.zollo6
• 2.pdf devient 2.pdf.zollo6

Le nombre dans l'extension peut varier, mais le résultat reste le même : les fichiers chiffrés deviennent inaccessibles à l'utilisateur. Outre le verrouillage des fichiers, le ransomware modifie le fond d'écran du système et place une note de rançon sur l'appareil, intitulée « READ_NOTE.html ».

Méthodes de chiffrement et message de rançon

La note de rançon laissée par les attaquants indique que les fichiers ont été chiffrés à l'aide d'une combinaison des algorithmes RSA et AES, des méthodes cryptographiques couramment utilisées dans les attaques de type ransomware. Selon cette note, toute tentative de restauration, de renommage ou de modification des fichiers chiffrés risque d'entraîner une perte de données irréversible.

Les auteurs de l'attaque affirment qu'aucun logiciel disponible publiquement ne permet de récupérer les fichiers et prétendent que seul leur outil de déchiffrement propriétaire peut en rétablir l'accès. Les victimes sont invitées à contacter les opérateurs aux adresses électroniques fournies :

• recovery1@salamati.vip
• recovery1@amniyat.xyz

Le message introduit également un élément de pression temporelle : les victimes sont averties que le montant de la rançon augmentera si aucun contact n’est établi dans les 72 heures.

Vol de données et tactiques de double extorsion

L'une des caractéristiques les plus inquiétantes de cette variante de rançongiciel est l'affirmation selon laquelle des données confidentielles auraient été volées avant le chiffrement. Les attaquants déclarent que ces informations sont stockées sur un serveur privé sous leur contrôle.

D'après le message de rançon, le paiement entraînera la suppression des données volées de leurs serveurs. En cas de non-paiement, les auteurs menacent de publier ou de vendre ces informations. Cette stratégie, dite de double extorsion, accroît la pression sur les victimes en combinant le chiffrement des données au risque de divulgation publique.

Même lorsque les victimes cèdent aux demandes de rançon, rien ne garantit que les pirates fourniront un outil de déchiffrement fonctionnel ni qu'ils supprimeront les données volées. C'est pourquoi les experts en cybersécurité déconseillent généralement de payer la rançon.

Comment le ransomware Zollo se propage

Les campagnes de rançongiciels s'appuient fréquemment sur la tromperie et l'ingénierie sociale pour infiltrer les systèmes. Les attaquants dissimulent souvent des charges utiles malveillantes sous l'apparence de fichiers légitimes afin d'inciter les utilisateurs à les exécuter.

Les vecteurs d'infection courants comprennent :

• Pièces jointes ou liens malveillants intégrés dans les courriels d'hameçonnage
• Fausses alertes de support technique conçues pour inciter les victimes à télécharger des logiciels malveillants
• Logiciels piratés, générateurs de clés non officiels et applications piratées
• Logiciels obsolètes présentant des vulnérabilités non corrigées
• Sites web compromis, publicités malveillantes et réseaux de partage de fichiers peer-to-peer
• Programmes de téléchargement tiers ou clés USB infectées

Une fois lancé, le ransomware commence immédiatement à chiffrer les fichiers et peut tenter de se propager sur les systèmes connectés au sein du même réseau.

Défis liés à la reprise et réponse aux incidents

Après le chiffrement, les victimes ne peuvent généralement pas ouvrir les fichiers affectés sans la clé de déchiffrement des attaquants. La récupération n'est possible que dans certains cas, notamment grâce à l'existence de sauvegardes sécurisées qui n'étaient pas connectées au système infecté lors de l'attaque.

Il est essentiel de supprimer immédiatement le ransomware dès sa détection. Si le logiciel malveillant reste actif sur un appareil, il peut continuer à chiffrer d'autres fichiers ou tenter de se propager à d'autres machines du réseau. L'isolement rapide du système infecté permet donc de limiter les dégâts et d'empêcher toute propagation ultérieure.

Pratiques de sécurité essentielles pour prévenir les ransomwares

Adopter de bonnes pratiques de sécurité réduit considérablement le risque d'infection par des menaces telles que le ransomware Zollo. Une protection efficace repose sur une combinaison de mesures techniques proactives et d'une vigilance accrue de la part des utilisateurs.

Il est essentiel de mettre à jour régulièrement les systèmes d'exploitation, les applications et les outils de sécurité, car de nombreuses campagnes de rançongiciels exploitent les vulnérabilités des logiciels obsolètes. L'utilisation d'un antivirus ou d'une solution de protection des terminaux fiable, capable de détecter les comportements suspects, est tout aussi importante.

La conservation de sauvegardes hors ligne ou dans le cloud est l'une des mesures de protection les plus efficaces. Ces sauvegardes doivent être stockées séparément du système principal afin d'éviter leur chiffrement lors d'une attaque. En cas d'infection, des sauvegardes saines permettent de restaurer les systèmes sans avoir à payer de rançon.

Les utilisateurs doivent également faire preuve de prudence face aux pièces jointes et aux téléchargements effectués par courriel. Les fichiers suspects, en particulier ceux qui présentent une urgence ou demandent une action immédiate, doivent être vérifiés avant d'être ouverts. Les organisations renforcent souvent cette protection par le filtrage des courriels, l'analyse des pièces jointes en environnement isolé (sandbox) et des formations de sensibilisation à la sécurité.

La segmentation du réseau permet de réduire davantage les risques en limitant la propagation des rançongiciels une fois qu'ils ont infiltré un environnement. Associée aux contrôles d'accès et aux systèmes de surveillance, elle contribue à contenir les infections avant qu'elles n'affectent les infrastructures critiques.

Réflexions finales

Les menaces de type ransomware, comme Zollo, soulignent l'importance de mesures proactives en matière de cybersécurité. En chiffrant les fichiers, en menaçant de divulguer les données et en exerçant une pression sur les victimes avec des demandes de rançon urgentes, les attaquants cherchent à obtenir des paiements rapides.

Une stratégie de défense multicouche, combinant mises à jour système, sauvegardes fiables, logiciels de sécurité et bonnes pratiques d'utilisation, demeure la méthode la plus efficace pour atténuer ces menaces. La détection précoce et une réaction rapide peuvent réduire considérablement l'impact des attaques par rançongiciel et protéger les données sensibles contre toute perte irréversible.