Pour la France, le CERT-FR (centre gouvernemental de veille, d'alerte et de réponses aux attaques informatique) émet un bulletin d'alerte au sujet d'une campagne de phishing de type rançongiciel. Depuis le début de ce mois de février, le CERT-FR dit avoir constaté une nouvelle vague importante de compromissions par le malware CTB-Locker.

Ce ransomware est véhiculé en pièce jointe de messages évoquant un fax. Bitdefender a également repéré un email rédigé dans un français correct et principalement envoyé à des services administratifs d'entreprises. Il évoque la confirmation d'une commande :

CTB-Locker-entreprise-france
La pièce jointe malveillante est une archive .cab (un fichier auto-exécutable), .zip ou un fichier exécutable à l'extension .scr (fichier d'écran de veille). Une fois l'archive ouverte, un document RTF (traitement de texte) est affiché. Il ouvre la voie à la charge utile de CTB-Locker qui va se lancer dans le chiffrement de fichiers sur la machine Windows infectée.

Cette prise en otage est signalée par une boîte de dialogue où la victime est invitée à payer dans les 96 heures ou 72 heures (plusieurs variantes) afin d'obtenir une clé pour le déchiffrement. Il peut par exemple s'agir d'un paiement de trois bitcoins, soit l'équivalent de 600 € actuellement, ou huit bitcoins (1 500 €). Un paiement peut aussi être demandé par PayPal voire carte bancaire, ce qui expose en plus à du vol de données sensibles.

CTB-Locker
Exemple d'une boîte de dialogue CTB-Locker ; crédit : CERT de la Société Générale

Après paiement, " le recouvrement des données n'est en aucun cas garanti ", écrit le CERT-FR. Bitdefender ajoute que CTB-Locker s'appuie sur un chiffrement par clés asymétriques et le réseau Tor. Celui-ci sert à cacher les serveurs de commande et contrôle. De quoi compliquer la recherche des cybercriminels derrière de telles attaques.

Source : CERT-FR