Le mois dernier, un rapport de Palo Alto Networks a attiré l'attention sur la menace Locky de type ransomware qui pourrait avoir un lien avec l'increvable botnet Dridex. A priori, les cybercriminels derrière Dridex auraient compris à quel point un rançongiciel peut être lucratif ; bien plus qu'un cheval de Troie usuel.

L'infection par Locky se répand grâce à des campagnes massives de phishing. Un email de spam - en général une facture - contient ainsi en pièce jointe un document Microsoft Word malveillant. Si le destinataire ouvre cette pièce jointe et si les macros sont activées, du code exécute le malware sur la machine.

Contrairement à la plupart des autres ransomwares qui génèrent une clé de chiffrement aléatoire en local puis en transmettent une copie chiffrée à l'infrastructure de l'attaquant, Locky effectue un échange de clé en mémoire via son infrastructure de commande et contrôle avant de chiffrer les fichiers. Peut-être un point faible en envisageant de perturber cet échange.

Sinon… les fichiers chiffrés se retrouvent pris en otage avec une extension .locky. Pour les déchiffrer, la rançon demandée varie entre 0,5 et 1 bitcoin (près de 400 € actuellement). Aujourd'hui, Kaspersky Lab indique avoir identifié plus de 60 variantes du ransomware Locky avec les utilisateurs allemands et français qui sont les plus exposés. Un autre vecteur d'attaque a vu le jour avec des pages Web légitimes qui ont été compromises.

Locky-Kaspersky-Lab

Pour la France, le CERT-FR a mis à jour un bulletin d'alerte indiquant que " tous les systèmes d'exploitation Windows peuvent être victimes de Locky " et confirmant une campagne d'emails non sollicités. Du phishing pour lequel le taux de blocage est " relativement faible. "

Actuellement, la campagne de phishing la plus active concerne des messages pour de fausses factures de l'opérateur Free Mobile. " La pièce jointe est une archive ZIP contenant un fichier JavaScript nommé EPSON000<nombre à 10 chiffres>.js. Ce script va ensuite télécharger la charge malveillante. "

Locky pourrait être le ransomware qui avait semé la zizanie à l'hôpital américain HPMC. Si ce dernier avait payé une rançon, Kaspersky Lab recommande de ne pas payer la rançon exigée mais plutôt d'avertir les autorités. Les mesures habituelles de vigilance, mise à jour des logiciels, installation d'une solution de sécurité et ici des sauvegardes préventives sont bien évidemment conseillées.