Le ransomware Locky mute

Le malware Locky évolue pour échapper aux outils de détection de malwares. Et cible toujours autant les entreprises françaises.

ransomware-684x250« Eteignez les ordinateurs immĂ©diatement ». C’est la consigne que se sont vues intimer bon nombre d’entreprise depuis quelque temps. En cause : la dĂ©couverte de fichiers comportant le suffixe .locky sur un des serveurs de fichiers partagĂ©s. Le signe indiscutable d’une contamination naissante par le ransomware Locky, un malware apparu Ă  la mi-fĂ©vrier et qui multiplie les tentatives d’infection dans l’Hexagone.

Locky chiffre un grand nombre de fichiers, en particulier tous ceux ayant des extensions renvoyant Ă  des vidĂ©os, des images, des codes source et des fichiers Office. Une fois les donnĂ©es verrouillĂ©es, les cybercriminels demandent aux victimes de s’acquitter d’une rançon pour retrouver l’accĂšs Ă  leurs donnĂ©es devenues illisibles (entre 0,5 et 1 Bitcoin pour Locky, selon les donnĂ©es publiĂ©es par l’éditeur Sophos, un Bitcoin valant aujourd’hui quelque 360 euros).

« Une nouvelle variante presque chaque jour »

Pour se propager, Locky se cache dans des e-mails (par exemple de fausses factures Free, l’opĂ©rateur vient d’ailleurs – tardivement – d’alerter ses abonnĂ©s du phĂ©nomĂšne), mais Ă©galement dans des notifications semblant Ă©maner d’imprimantes ou de scanners situĂ©s sur le rĂ©seau de l’entreprise. Ces derniĂšres comportent un fichier PDF renfermant du code Javascript dĂ©clenchant le tĂ©lĂ©chargement du malware. « Ce n’est malgrĂ© tout pas une attaque ciblĂ©e au sens oĂč on l’entend habituellement, explique Vincent Nguyen, le responsable technique du CERT (le centre de rĂ©ponse aux incidents de sĂ©curitĂ©) de la sociĂ©tĂ© de conseil Solucom. Cette technique peut s’automatiser Ă  partir de l’adresse du destinataire. La diversification des techniques de diffusion de l’infection tĂ©moigne par contre de la volontĂ© des cybercriminels d’échapper aux filtres anti-spam. »

Le ransomware se diffuse aussi via des sites infectĂ©s par les cybercriminels. « Le site va utiliser un ‘Exploit Kit’ (en ce moment, principalement Angler), qui consolide plusieurs codes d’exploitation de vulnĂ©rabilitĂ©s pour des produits web (navigateurs web, plug-in Flash, Java, Silverlight
) », dĂ©taille Vincent Nguyen. Objectif : repĂ©rer une des vulnĂ©rabilitĂ©s ciblĂ©es par le kit dans le navigateur web des visiteurs pour exĂ©cuter un code malveillant qui va dĂ©clencher l’innoculation du ransomware.

« Une nouvelle variante de Locky apparaĂźt presque chaque jour afin d’échapper aux outils de dĂ©tection, (…) depuis ce matin (hier le 10 mars), une nouvelle variante est apparue et n’est dĂ©tectĂ©e que par 5 antivirus sur 57. Cette variante est plus dangereuse, car elle chiffre tout sur le partage rĂ©seau en utilisant la dĂ©couverte rĂ©seau de Windows, alors que la prĂ©cĂ©dente mouture du malware se basait sur les lettres des lecteurs rĂ©seaux ». En cas d’infection, la premiĂšre chose Ă  faire consiste Ă  dĂ©brancher le cĂąble rĂ©seau et mĂȘme Ă  Ă©teindre les PC. « En effet, sur les derniĂšres variantes, le fait de couper le rĂ©seau empĂȘche la communication entre Locky et le serveur des hackers et donc interrompt le chiffrement. Normalement, le fait de relancer la machine suffit Ă  dĂ©sactiver le malware », dĂ©taille RĂ©my Fontaine, dont la sociĂ©tĂ© est dĂ©jĂ  intervenue sur 5 serveurs infectĂ©s par les premiĂšres variantes et sur deux autres touchĂ©s par les derniĂšres moutures. Pour tenter d’enrayer le malware, la sociĂ©tĂ© a dĂ©veloppĂ© une stratĂ©gie de groupe (GPO,Group Policies Object) sur les serveurs permettant de bloquer l’exĂ©cution de Locky dans APPDATA, le rĂ©pertoire oĂč il a l’habitude de se loger.

« Le phĂ©nomĂšne touche toutes les entreprises, les plus grandes y compris », assure Vincent Nguyen. Solucom, dont l’activitĂ© se concentre sur les grandes entreprises, a ainsi reçu une dizaine de sollicitations sur le sujet et est intervenu, sur site, chez deux de ses clients. « L’un d’entre eux Ă©tait touchĂ© par 5 souches de ransomwares diffĂ©rentes en mĂȘme temps. C’est ce qui rend la situation complexe, car on n’a pas affaire Ă  une menace unique : aux multiples variantes de Locky s’ajoutent celles de Teslacrypt par exemple. Et les antivirus ont toujours un coup de retard », explique le responsable technique du CERT de Solucom, sociĂ©tĂ© qui vient de publier quelques conseils sur les façons de rĂ©agir Ă  une infection par ransomware.

Locky mute par algorithme

Comme l’explique Cyrille Badeau, le directeur rĂ©gional de l’éditeur ThreatQuotient, spĂ©cialisĂ© dans l’intelligence sur la menace, les malwares mutent en permanence pour contourner les lignes de dĂ©fense, ce qui explique pourquoi des entreprises mĂȘme Ă  jour sur leurs technologies de lutte contre les menaces sont piĂ©gĂ©es
 pour peu qu’un utilisateur clique sur un fichier malicieux. « Si on compare une attaque complexe Ă  une molĂ©cule composĂ©e d’atomes, mĂȘme si les mĂ©thodologies d’attaque, soit la structure des molĂ©cules, Ă©voluent trĂšs lentement du fait de l’importance du coĂ»t associĂ©, les hackers sont capables de faire Ă©voluer de nombreux atomes Ă  bas coĂ»t. Ainsi depuis plusieurs annĂ©es, de campagne en campagne, ils remplacent certains atomes devenus trop facilement dĂ©tectables par de nouveaux Ă©lĂ©ments ayant le mĂȘme rĂŽle, mais apparaissant pour la premiĂšre fois. »

Et Cyrille Badeau de noter que, dans le cas de Locky, l’automatisation des attaques s’est accentuĂ©e avec l’utilisation de serveurs de contrĂŽle et de commande (serveurs dits C&C qui pilotent les virus) gĂ©nĂ©rĂ©s par algorithme. « Impossible pour les dĂ©fenseurs de prĂ©voir le prochain C&C Ă  surveiller », rĂ©sume-t-il. Un site comme RansomwareTracker les rĂ©fĂ©rence au fil de l’eau, mais une fois les premiĂšres infections dĂ©tectĂ©es.

Un Javascript Ă  la place des macros Office

Si la France figure parmi les principaux pays victimes du rançongiciel, le phĂ©nomĂšne est global. Les laboratoires SpiderLabs de la sociĂ©tĂ© Trustwave estiment que 18 % des 4 millions de spams qu’ils ont analysĂ© dans le courant de la semaine derniĂšre sont liĂ©s Ă  des ransomware. Et Locky est la star actuelle dans cette famille d’infections. Les SpiderLabs notent une accĂ©lĂ©ration importante de l’envoi de spams renfermant des ransomware au cours des derniers jours. « Ces campagnes (d’envoi de spams visant Ă  diffuser l’outil de tĂ©lĂ©chargement du virus) ne sont pas continues, mais concentrĂ©es, avec des pics Ă  200 000 e-mails infectieux arrivant sur nos serveurs en une seule heure », Ă©crit Rodel Mendrez, un chercheur de Trustwave.

Et la sociĂ©tĂ© de mettre en garde contre la diffusion par spam de scripts Javascript (encapsulĂ©s dans des fichiers Zip) dĂ©clenchant le tĂ©lĂ©chargement de Locky, une autre technique exploitĂ©e par les cybercriminels. Objectif de la compression en .zip et de l’envoi d’un fichier de petite taille : laisser penser que ledit fichier est bĂ©nin.« Nous pensons que le passage au Javascript vise Ă  esquiver les technologies antimalware », renchĂ©rit McAfee dans un billet de blog. Cette mĂ©thode, aux cĂŽtĂ©s de celles basĂ©es sur de fausses notifications de scanners ou imprimantes et sur la diffusion par des sites infectĂ©s, semblent avoir supplantĂ© la premiĂšre technique de dissĂ©mination employĂ©e par les cybercriminels, une approche exploitant les macros Office.

500 000 connexions venant de France

Les statistiques fournies par un autre fournisseur d’outils de sĂ©curitĂ©, Fortinet, tĂ©moignent aussi de la large diffusion de Locky. Sur la base des connexions aux serveurs de commande et contrĂŽle des ransomwares dĂ©tectĂ©es par ses sondes de dĂ©tection d’intrusion (soit 18,6 millions de connexions entre le 17 fĂ©vrier et le 2 mars), la sociĂ©tĂ© estime que 16,5 % d’entre elles sont liĂ©es Ă  Locky. C’est certes beaucoup moins que les connexions dues Ă  la famille Cryptowall (plus de 83%), mais Locky est, contrairement Ă  son aĂźnĂ©, clairement surreprĂ©sentĂ© en France, l’Hexagone pesant quelque 15 % des connexions totales dues Ă  la nouvelle terreur des services IT. Ce qui reprĂ©sente, pour les seules sondes Fortinet, pas loin de 500 000 connexions aux serveurs de commande et contrĂŽle Locky issues de France, dans le courant de seconde moitiĂ© de fĂ©vrier.

Capture-d’écran-2016-03-10-à-18.22.07Les statistiques de Fortinet sur Locky.Locky a rĂ©cemment fait la dĂ©monstration de sa dangerositĂ© outre Atlantique, en bloquant les systĂšmes d’un hĂŽpital de Los Angeles, le Hollywood Presbyterian Medical Center. Selon le New York Post, ce dernier a Ă©tĂ© contraint de verser 17 000 $ aux pirates – aprĂšs nĂ©gociation, les criminels rĂ©clamaient au dĂ©part plus de 3,5 M$ – pour obtenir les clefs de dĂ©chiffrement et retrouver l’accĂšs Ă  ses donnĂ©es. Comme l’explique Vincent Nguyen, de Solucom, aucun outil ne permet Ă  ce jour de restaurer les fichiers chiffrĂ©s par Locky sans possĂ©der la clef que vendent les cybercriminels, mĂȘme si des travaux sont en cours pour tenter de trouver des solutions de contournement.

Source

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>