Après la disparition en juin du groupe Gand Crab et la fin de ses activités liées au ransomware du même nom, la demande pour ce type de malware reste forte sur les marchés invisibles. Jusqu’à présent, les cyber criminels tentaient en vain de trouver un substitut exploitable pour mener leurs opérations. L’arrivée d’un nouveau ransomware appelé NEMTY pourrait bientôt changer cet état de fait.
Une fois actif, NEMTY chiffre les données et interdit la possibilité aux victimes de retrouver leurs fichiers en supprimant les « Shadow Copy » du système. Le malware intime ensuite à la victime de coopérer en se rendant sur un site du Deep Web pour y effectuer le payement en échange de la clé de chiffrement. D’après des tests réalisés par nos confrères, le montant demandé pour l’instant serait de l’ordre du millier de dollars.
Le chercheur Vitali Kremez nous indique que le malware cache bien quelques messages cachés. On y trouve par exemple une photo de Vladimir Putin avec ce sous-titre : « je t’ai ajouté sur la liste des chochottes mais seulement au stylo pour l’instant ». Kremez signale également que le malware se verrait distribué à partir d’une connexion RDP. Ceci a pour avantage de mettre l’attaquant à l’initiative de l’infection alors qu’une attaque de phishing par mail (technique habituellement utilisée par les attaquants) nécessiterait l’intervention de la victime.
D’après nos informations, il semblerait que les développeurs du malware étaient jusqu’à présent à la recherche de membres supplémentaires pour leur équipe. Ceci dans le but de finaliser la première version du maliciel.