Une vulnérabilité identifiée dans le rançongiciel Rhysida

Le CERT-FR, Avast et Emsisoft ont exploité une vulnérabilité dans le rançongiciel Rhysida pour développer un outil de déchiffrement, a-t-on appris mi-février 2024. Cette annonce arrive à la suite de la publication, par cinq chercheurs sud-coréens de l’université américaine de Cornell, d’un article détaillant cette faille, le 9 février 2024. Les chercheurs y expliquent comment cette vulnérabilité permet de déchiffrer les données frappées par le rançongiciel.

La communauté cyber s’est montrée plutôt critique envers cet article. En effet, sa publication a probablement alerté les cybercriminels diffusant Rhysida, et a pu les inciter à changer de malware. Les bonnes pratiques en cybersécurité imposent habituellement d’attendre qu’un groupe cybercriminel ait corrigé une vulnérabilité pour la dévoiler publiquement.

Dans le cas de Rhysida, cette levée du secret a incité Fabian Wosar, responsable de la recherche sur les rançongiciels de la société Emsisoft, à publier un long thread sur X, le 12 février 2024. Il y précise qu’il a identifié cette vulnérabilité en mai 2023, peu après l’apparition du gang de rançongiciel. Il ajoute que, dès juin 2023, le CERT-FR a publié un rapport privé sur cette faille, imité par Avast en octobre 2023.

Le 13 février 2024, Avast a d’ailleurs confirmé cette chronologie. La société de cybersécurité indique ainsi avoir découvert la vulnérabilité de chiffrement en août 2023, avant de diffuser une analyse technique privée du rançongiciel en octobre 2023.

Ces initiatives ont permis la réalisation d’outils de déchiffrement efficaces, dont l’utilisation était restée jusqu’ici secrète. « Je ne connais pas les données d’Avast et du CERT-FR, mais nous avons depuis déchiffré des centaines de systèmes », affirme ainsi Fabian Wosar.