Fonix est un récent RaaS (Ransomware-as-a-Service) proposé sur de nombreux forums de cybercriminels cachés. Dernièrement, le ransomware a été découvert alors qu’il se propageait et ciblait activement les utilisateurs du système Windows.

La propagation du ransomware se fait via des vecteurs d’infection généraux comme les campagnes de publicité malveillantes, les traqueurs de torrent, les fausses mises à jour ou téléchargements de logiciels et des courriers indésirables. Le ransomware est disponible en variantes 64 bits et 32 bits avec comme but de cibler les systèmes Windows.

Ce ransomware représente une menace discrète qui utilise quatre sortes d’algorithmes de cryptage, comme Chacha, Salsa20, RSA ainsi que AES. Suite à son exécution avec des privilèges administratifs, la charge utile malveillante opère plusieurs modifications au niveau des systèmes. Par exemple, la désactivation du gestionnaire de taches, la création d’un service masqué et certaines autres opérations.

Le pirate derrière ce ransomware garde 25% du montant de la rançon de son réseau d’affiliation au lieu de facturer des frais d’adhésion. Les affiliés n’obtiennent pas un accès instantané à l’utilitaire ou aux clés de déchiffrement, mais doivent plutôt fournir les fichiers d’un système victime. De ce fait, les opérateurs RaaS déchiffrent les fichiers puis les renvoient aux victimes.

Aujourd’hui, les ransomwares représentent l’une des cybermenaces les plus importantes et la situation s’est aggravée suite à la pandémie du coronavirus. Selon les experts, il est primordial de sauvegarder régulièrement les données critiques et importantes, et s’assurer de corriger et d’effectuer une mise à jour régulière du système. Pour finir, il faudrait éviter de télécharger quoi que ce soit à partir de sources non fiables.