Comme prévenir c’est mieux que guérir, vous pouvez maintenant empêcher la multiplication de cette nouvelle menace à l’aide de Reveelium, une solution développée par ITrust, qui permet de détecter les signaux faibles correspondant à des tentatives de connexion au centre de contrôle des logiciels malveillants. En même temps, notre scanner de vulnérabilité, IKare, permet en amont la non-propagation de Locky.
Locky: le piratage de données frappe de nouveau @ITrustBlog
1. Locky : le piratage de données frappe de nouveau
Dans un précédent article nous parlions de la mafia de la cybersécurité – l’infâme CryptoLocker.
Aujourd’hui, nous portons notre attention vers une nouvelle classe de rançongiciels qui a déjà fait
d’énormes dégâts dans le monde entier : Locky. Découvert le 16 février, cette menace malveillante
se propage agressivement dans toute la France, l’Allemagne et l’Australie et son nombre de victimes
n’arrête pas d’augmenter.
En utilisant des campagnes de spam, les créateurs de Locky ont dupé des dizaines de milliers
d’utilisateurs à ouvrir les pièces jointes infectées, pour prendre en otage leurs documents importants
récupérables en échange d’une rançon en BTC (entre 210-420 $). Cela vous est familier ?
Evidemment, Locky utilise la même stratégie d’exploitation que le CryptoLocker: la prise d’otage de
vos données encryptées se prolonge jusqu’à ce que l’utilisateur ait atteint son point de rupture et
décide qu’il est temps de payer. Toutefois, l’équipe ITrust a identifié quelques particularités concernant
cette menace, qui pourront éventuellement vous servir dans la lutte contre ces pirates.
LE CONSEIL DE NOS INGÉNIEURS SÉCURITÉ ITRUST
Il est important de vérifier :
que vous n’avez pas reçu de mails qui ont pour sujet, Invoice J-XXXX ;
que vous n’avez pas reçu de mails avec une pièce jointe javascript ou au format J-XXXX ;
qu’il ne soit pas déjà dans votre réseau en train de chiffrer des donnéés.
Les traces relevées jusqu’ici montrent qu’il est présent si les clés de registre suivantes s’observent :
HKCUSoftwareMicrosoftWindowsCurrentVersionRunLocky
HKCUSoftwareLockyid
HKCUSoftwareLockypubkey
HKCUSoftwareLockypaytext
Ou bien si les fichiers suivants se sont installés sur les stations de travail ou serveur :
C:Users(Username)AppDataLocalTempIadybi.exe
C:Users(Username)Documents_Locky_recover_instructions.txt
2. COMMENT FONCTIONNE LOCKY
Supposons un instant que vous êtes au travail, que vous répondiez à vos mails et que vous vérifiez
en même temps votre portable, et qu’en parallèle vous pensiez au document que votre patron exige
pour demain. Tout d’un coup, vous recevrez un e-mail contenant en pièce jointe une invoice (de type
extension .doc) à payer une facture de téléphone que vous avez probablement oublié, ayant comme
objet suggestif « ATTN: invoice J-[NUMÉROS ALÉATOIRES] ». Mais comment cela peut-il être?
Coincé entre toutes les tâches à gérer et la pression de la date limite, vous commencez à douter et
vous cliquez sur la pièce jointe.
Voilà comment tout commence avec un simple clic. Et cela peut arriver à tout le monde, que ce soit
le PDG d’une grande organisation ou votre voisin.
Une fois que Locky a profité avec succès de votre réactivité (vous auriez payé cette facture de toute
façon, non?), le document Word que vous venez d’ouvrir vous demande l’activation de macros « si
l’encodage de données est incorrect ». Rien de suspect, à l’exception du fait que vous avez
involontairement donné votre consentement au code malveillant de fonctionner sur votre système
d’information et enregistrer un fichier sur votre disque. Ce fichier est un logiciel que les pirates utilisent
pour propager le virus du ransomware Locky sur votre SI.
QUI SE CACHE DERRIÈRE LES ATTAQUES?
Bien que des spéculations aient été faites, il n’y a pas encore une réponse définitive à cette question.
Une chose est certaine, les campagnes de spam Locky présentent deux points communs avec les
campagnes lancées par le cheval de Troie finqncié, Dridex. La première similarité est que les deux
cyber-attaques utilisent des urgences financières comme prétexte. La seconde similitude est
l’utilisation de macros dans les documents Word attachés. Est-ce une pure coïncidence? Nous n’en
sommes pas sûrs encore.
COMMENT POUVEZ-VOUS VOUS PROTÉGEZ?
Ce que nous savons est que Reveelium peut vous aider à attraper les pirates et déterminer quels
dispositifs ont été compromis par Locky. Comment est-ce possible? Bienque Locky utilise un cryptage
lourd, il y a une fenêtre d’opportunité que vous pouvez profiter avec notre solution intelligente
d’analyse comportementale, capable de détecter le malware avant son activation. Vous pouvez en
savoir plus dans notre derniere article sur la façon dont vous pouvez éviter être dans une situation de
prise d’otage avec Reveelium.
Ce que vous devrez retenir est que, sans effectuer une sauvegarde avant l’attaque, la récupération
de vos données cryptées par Locky risque de ne pas se produire. Comme prévenir c’est mieux que
guérir, vous pouvez maintenant empêcher la multiplication de cette nouvelle menace à l’aide de
Reveelium, une solution développée par ITrust, qui permet de détecter les signaux faibles
correspondant à des tentatives de connexion au centre de contrôle des logiciels malveillants. En
même temps, notre scanner de vulnérabilité, IKare, permet en amont la non-propagation de Locky.
3. LES SOLUTIONS ITRUST
Reveelium a été développée dans le but du couvrir le décalage d’intelligence auquel les antivirus sont
confrontés, ce qui baisse les temps de détection à 1 semaine (par rapport à la moyenne de 12 mois)
et réduit les faux positifs de 95%. Il permet d’identifier les symptômes de tous les comportements
malveillants grâce à son système automatisé de détection des anomalies, construit comme une
technologie 3D comprenant: un moteur de détection des signaux faibles, qui est le fruit de recherches
avancées en algorithmes statistiques et en intelligence artificielle. Ses résultats sont enrichis par un
moteur de corrélation qui intègre des détecteurs spécialisés et des règles issues de l’expertise des
ingénieurs et des consultants de sécurité d’ITrust. Le système s’appuie enfin sur une base de
connaissance globale, la « mémoire » de Reveelium, qui fusionne les informations issues des
différentes instances de Reveelium, afin de faire bénéficier chaque client de l’expérience des autres.
IKare est une solution de gestion des vulnérabilités qu’analyse les réseaux informatiques et détecte
les équipements mal configurés, les défaillances ou faibles mots de passe et les applications non
mises à jour. IKare aide aussi bien les petites que les grandes organisations à maintenir un
environnement informatique sécurisé. Elle effectue les évaluations en continu afin de détecter les
nouvelles vulnérabilités à temps, et permet d’accélérer l’atténuation ou la correction des risques.
Liens :
https://www.reveelium.com/fr/locky-data-hijackers-strike/
https://www.itrust.fr/locky-piratage-donnees