Infos

Une version du ransomware Locky déjoue certaines mesures de protection

Une version du célèbre ransomware Locky figure dans une campagne de grande envergure par email qui parvient à déjouer les mesures de protection de quelques entreprises qui ne se doutent de rien.

Au cours d’une période de trois jours qui a débuté le 9 août, le ransomware baptisé IKARUSdilapidated est arrivé dans des dizaines de milliers de boîtes aux lettres avec un message qui ne contenait que très peu de texte ou pas de texte du tout et un dropper malveillant en pièce jointe d’après les informations récoltées par Comodo Threat Intelligence Lab.

Comodo explique que la pièce jointe est une archive qui porte le nom « E 2017-08-09 (580).vbs » où 580 est un chiffre variable qui change dans chaque message et ‘vbs’ est une extension qui change elle-aussi. Les objets sont similaires « E 2017-08-09 (580).tiff » où l’extension est celle d’un document (doc), d’une archive (zip), d’un PDF ou d’une image (jpg, tiff).

Si le destinataire exécute la pièce jointe, il lance le téléchargement du ransomware IKARUSdilapidated. Le nom de cette souche de ransomware provient d’une chaîne de texte qui figure dans le code du fichier malveillant téléchargé par le dropper.

D’après une analyse préliminaire réalisée par Comodo : « Quand l’utilisateur ouvre la pièce jointe, il ne voit que du contenu illisible et le message « Activer la macro si le codage des données est incorrect ». Il s’agit d’une technique d’ingénierie sociale utilisée dans ce type d’attaque de phishing. Si l’utilisateur suit l’instruction, les macros enregistrent, puis exécutent un fichier binaire qui télécharge le trojan de chiffrement. »

« En tant que nouvelle version de malware, ce fichier est lu comme un « fichier inconnu » et il est accepté par les entreprises qui n’ont pas adopté la stratégie de sécurité de rejet par défaut (qui interdit l’entrée de tous les fichiers inconnus jusqu’à ce que leur caractère inoffensif pour l’infrastructure des technologies de l’information a été confirmé » a déclaré Comodo.

D’après les chercheurs, IKARUdilapidated est une version de Locky car ils partagent de nombreuses caractéristiques comme les noms de fichiers chiffrés convertis en une combinaison unique de 16 caractères alphanumériques avec l’extension .locky.

D’après le message du ransomware, les fichiers sont chiffrés à l’aide de « chiffres RSA-2048 et AES-128 ».

Locky est célèbre pour son efficacité et sa rentabilité. Au cours des deux dernières années, Locky a extorqués plus de 7.8 millions de dollars à ses victimes d’après une étude récente réalisée par Google, Chainalysis, UC San Diego et la NYU Tandom School of Engineering.

Après l’infection, un message s’affiche sur le Bureau de la victime et lui demande de télécharger le navigateur Tor et d’accéder à un site de paiement pour payer la rançon comprise entre 0,5 et 1 bitcoin (600 à 1 200 dollars américains) si elle souhaite déchiffrer ses fichiers.

Comodo a analysé un échantillon de 62 000 emails liés à la campagne IKARUSdilapidated et confirme que l’adversaire est sophistiqué : il utilise 11 625 adresses IP différentes réparties entre 133 pays dont le Vietnam, l’Inde, le Mexique, la Turquie et l’Indonésie.

« Quand l’équipe a vérifié l’identité des propriétaires des plages d’adresses IP, nous avons remarqué qu’il s’agissait principalement d’opérateurs de télécommunications et de FAI. Ceci nous indique que les adresses IP appartiennent à des ordinateurs infectés et désormais compromis » ont écrit les chercheurs dans un rapport sur le ransomware qui sera prochainement publié.

D’après les chercheurs, la taille, la portée et la qualité du réseau de zombies derrière cette campagne laissent penser que l’adversaire est expérimenté. « Cela confirme également les progrès au niveau des techniques, de l’organisation et de la taille des nouvelles campagnes de ransomware et justifie le respect des recommandations formulées partout par les experts en sécurité » ajoutent les chercheurs.

Au cours des six derniers mois, Locky a fait preuve d’une très grande activité. En avril, il a exploité le réseau de zombies Necurs pour envoyer des vagues massives d’emails de phishing. Dans le cadre de cette campagne spécifique, repérée par Cisco Talos, les chercheurs ont mis en garde le public contre le fait que Locky empruntait des techniques efficaces au malware Dridex (spécialisé dans le vol d’informations d’authentification) qui est passé maître dans l’art de déjouer les efforts d’atténuation des risques à l’aide de bacs à sable.

En février, le Centre de protection contre les malwares de Microsoft a détecté des campagnes d’emails malveillants avec des pièces jointes .lnk pour diffuser le malware Locky et le trojan Kovter (fraude aux clics). Il s’agit du premier cas où des criminels diffusent ces deux malwares simultanément.

Source : Threatpost

Une version du ransomware Locky déjoue certaines mesures de protection

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception