Une version du ransomware Locky déjoue certaines mesures de protection
Une version du célèbre ransomware Locky figure dans une campagne de grande envergure par email qui parvient à déjouer les mesures de protection de quelques entreprises qui ne se doutent de rien.
Au cours d’une période de trois jours qui a débuté le 9 août, le ransomware baptisé IKARUSdilapidated est arrivé dans des dizaines de milliers de boîtes aux lettres avec un message qui ne contenait que très peu de texte ou pas de texte du tout et un dropper malveillant en pièce jointe d’après les informations récoltées par Comodo Threat Intelligence Lab.
Comodo explique que la pièce jointe est une archive qui porte le nom « E 2017-08-09 (580).vbs » où 580 est un chiffre variable qui change dans chaque message et ‘vbs’ est une extension qui change elle-aussi. Les objets sont similaires « E 2017-08-09 (580).tiff » où l’extension est celle d’un document (doc), d’une archive (zip), d’un PDF ou d’une image (jpg, tiff).
Si le destinataire exécute la pièce jointe, il lance le téléchargement du ransomware IKARUSdilapidated. Le nom de cette souche de ransomware provient d’une chaîne de texte qui figure dans le code du fichier malveillant téléchargé par le dropper.
D’après une analyse préliminaire réalisée par Comodo : « Quand l’utilisateur ouvre la pièce jointe, il ne voit que du contenu illisible et le message « Activer la macro si le codage des données est incorrect ». Il s’agit d’une technique d’ingénierie sociale utilisée dans ce type d’attaque de phishing. Si l’utilisateur suit l’instruction, les macros enregistrent, puis exécutent un fichier binaire qui télécharge le trojan de chiffrement. »
« En tant que nouvelle version de malware, ce fichier est lu comme un « fichier inconnu » et il est accepté par les entreprises qui n’ont pas adopté la stratégie de sécurité de rejet par défaut (qui interdit l’entrée de tous les fichiers inconnus jusqu’à ce que leur caractère inoffensif pour l’infrastructure des technologies de l’information a été confirmé » a déclaré Comodo.
D’après les chercheurs, IKARUdilapidated est une version de Locky car ils partagent de nombreuses caractéristiques comme les noms de fichiers chiffrés convertis en une combinaison unique de 16 caractères alphanumériques avec l’extension .locky.
D’après le message du ransomware, les fichiers sont chiffrés à l’aide de « chiffres RSA-2048 et AES-128 ».
Locky est célèbre pour son efficacité et sa rentabilité. Au cours des deux dernières années, Locky a extorqués plus de 7.8 millions de dollars à ses victimes d’après une étude récente réalisée par Google, Chainalysis, UC San Diego et la NYU Tandom School of Engineering.
Après l’infection, un message s’affiche sur le Bureau de la victime et lui demande de télécharger le navigateur Tor et d’accéder à un site de paiement pour payer la rançon comprise entre 0,5 et 1 bitcoin (600 à 1 200 dollars américains) si elle souhaite déchiffrer ses fichiers.
Comodo a analysé un échantillon de 62 000 emails liés à la campagne IKARUSdilapidated et confirme que l’adversaire est sophistiqué : il utilise 11 625 adresses IP différentes réparties entre 133 pays dont le Vietnam, l’Inde, le Mexique, la Turquie et l’Indonésie.
« Quand l’équipe a vérifié l’identité des propriétaires des plages d’adresses IP, nous avons remarqué qu’il s’agissait principalement d’opérateurs de télécommunications et de FAI. Ceci nous indique que les adresses IP appartiennent à des ordinateurs infectés et désormais compromis » ont écrit les chercheurs dans un rapport sur le ransomware qui sera prochainement publié.
D’après les chercheurs, la taille, la portée et la qualité du réseau de zombies derrière cette campagne laissent penser que l’adversaire est expérimenté. « Cela confirme également les progrès au niveau des techniques, de l’organisation et de la taille des nouvelles campagnes de ransomware et justifie le respect des recommandations formulées partout par les experts en sécurité » ajoutent les chercheurs.
Au cours des six derniers mois, Locky a fait preuve d’une très grande activité. En avril, il a exploité le réseau de zombies Necurs pour envoyer des vagues massives d’emails de phishing. Dans le cadre de cette campagne spécifique, repérée par Cisco Talos, les chercheurs ont mis en garde le public contre le fait que Locky empruntait des techniques efficaces au malware Dridex (spécialisé dans le vol d’informations d’authentification) qui est passé maître dans l’art de déjouer les efforts d’atténuation des risques à l’aide de bacs à sable.
En février, le Centre de protection contre les malwares de Microsoft a détecté des campagnes d’emails malveillants avec des pièces jointes .lnk pour diffuser le malware Locky et le trojan Kovter (fraude aux clics). Il s’agit du premier cas où des criminels diffusent ces deux malwares simultanément.
Source : Threatpost